Prezentare generală a legislației și practicilor europene privind protecția datelor

Secțiunea I: Introducere în protecția datelor la nivel european

 Originile și contextul istoric al legislației privind protecția datelor
o Justificare: creșterea numărului de calculatoare pentru comunicații în anii 1970
o Comerțul transfrontalier
 Echilibrul dintre preocupările naționale pentru libertatea personală și viața privată și
capacitatea de a sprijini comerțul liber la nivelul CEE
 Tot aici UE obține autoritatea de a reglementa viața privată (libera circulație)
o Legile privind drepturile omului
 DUDO 1948
 "demnitatea inerentă și drepturile egale și inalienabile ale tuturor membrilor
rasei umane în fundamentul libertății, dreptății și păcii în lume"
 ART 12: dreptul la intimitate
 ART 19: dreptul la libertatea de informare/transfer de informații
 ART 29(2): echilibrarea drepturilor
 CEDO
 Consiliul Europei, Roma 1950 (intrat în vigoare în 1953)
 Curtea Europeană a Drepturilor Omului (Strasbourg)=> sistem de executare,
decizii obligatorii
o De asemenea, poate emite avize consultative privind CEDO
 ART 8: dreptul la intimitate
o Necesitate și proporționalitate, interes public, nu un drept absolut
 ART 10: dreptul la libertatea de exprimare/informare
 ART 10(2): echilibru, motive pentru încălcarea drepturilor
o Necesar într-o societate democratică
o Securitate națională
o Integritatea teritorială
o Siguranța publică
o Prevenirea tulburărilor sau a infracțiunilor
o Protecția sănătății sau a moralei
o Protecția reputației sau a drepturilor altora
o Împiedicarea divulgării informațiilor primite cu titlu confidențial
o Menținerea autorității și imparțialității sistemului judiciar
o Legi timpurii/precedente
 Anii 1960-1980: țări cu legi care controlează utilizarea informațiilor personale de către
guvern și companii mari
 Etapa națională nu a protejat în mod adecvat dreptul la confidențialitate cu
tehnologia emergentă
o Recc 509 privind dezvoltarea resurselor umane și a științei și tehnologiei
moderne
 1973/4: Rezoluțiile 73/2 și 74/29 ale Consiliului Europei: principiile protecției
datelor în băncile de date automatizate
 Orientările OCDE (privind protecția vieții private și fluxurile transfrontaliere de date cu
caracter personal)
 facilitarea armonizării legislației privind protecția datelor între țări
 nu este obligatoriu din punct de vedere juridic

1
  Nu există nicio distincție între informațiile personale colectate electronic sau nu
 Notificare sau consimțământ
 Scopul specific al colectării
 Drepturile individuale de a obține informații de la operatorul de date
 echilibrarea vieții private și a liberei circulații a informațiilor/comerțului
 Legile interne pot avea standarde mai ridicate
 Convenția 108 (1981)
 Convenția CoE (pentru protecția persoanelor față de prelucrarea automatizată a
datelor cu caracter personal)
 Deschis spre semnare țărilor din afara Europei!
 Obligatoriu din punct de vedere juridic: primul instrument internațional
obligatoriu care stabilește standarde pentru datele cu caracter personal și
asigură un echilibru cu fluxul liber al informațiilor pentru comerțul internațional
 Cei care utilizează informații personale au responsabilitatea socială de a proteja
astfel de date cu caracter personal
 Pe baza principiilor CoE 73/22 și 74/29
 Excepții permise pentru semnatari atunci când este necesar măsuri într-o
societate democratică (de exemplu, securitatea statului sau ancheta penală)
**proporționalitate
 LIBERA CIRCULAȚIE A INFORMAȚIILOR ÎNTRE SEMNATARI b/c nivel minim de
protecție
 Protocolul adițional abordează transferurile către țări care nu sunt semnatare
o Interesele legitime ale individului
o În interes public
o Transfer în baza clauzelor contractuale aprobate de autoritatea de
supraveghere
 Asistența reciprocă cu autoritățile de supraveghere
 În continuare, singurul instrument juridic obligatoriu cu un domeniu de aplicare
la nivel mondial în domeniul protecției datelor, deschis oricărei țări
o Armonizarea în Europa
 Directiva privind protecția datelor (95/46/CE)
 Comisia Europeană a solicitat Parlamentului European în 1976, în vigoare în
1995
 Directivele sunt legislație, dar lasă metodele de punere în aplicare la latitudinea
statelor membre
 Pe baza Convenției 108
 Diferențe de rezultate între statele membre (punere în aplicare incorectă,
standarde diferite)
o De exemplu, cerința de a notifica autoritățile locale pentru protecția
datelor cu privire la prelucrare
o Rezolvat cu GDPR
 Carta drepturilor fundamentale
 UE, 2000 la Nisa, consolidează drepturile omului fundamentale în Europa
 Se referă în mod specific la protecția datelor cu caracter personal (spre
deosebire de CEDO, care are doar dreptul la viață privată)
 ART 7: dreptul la intimitate
 ART 8: drepturi în materie de protecție a datelor

2
 o În mod echitabil pentru un scop specificat, consimțământ sau un alt
interes legitim prevăzut de lege
o Valori de bază: (1) echitabil, (2) scop specificat, (3) temei legitim pentru
prelucrare, (4) dreptul individual de acces și rectificare a datelor cu
caracter personal, (5) autoritate de supraveghere pentru supravegherea
conformității
 ART 10: dreptul la transferul de informații
 ART 52: necesitate și proporționalitate (echilibru)
 Tratatul de la Lisabona
 TUE și TFUE
 TFUE ART 16(1): orice persoană are dreptul la protecția datelor cu caracter
personal
 ART 16(2): toate instituțiile UE trebuie să protejeze persoanele fizice atunci când
prelucrează date cu caracter personal
o APD naționale pot avea, de asemenea, jurisdicție
 Tratatul de la Maastricht nu a menționat deloc drepturile fundamentale, ci
dezvoltarea
 RGPD
 Comisia a lansat revizuirea cadrului juridic actual în 2009/2010 pentru a
consolida normele de protecție a datelor
 Regulamentele sunt obligatorii în toate elementele lor și se aplică direct statelor
membre imediat=> maximizarea coerenței abordării
o În unele cazuri, statele membre pot adopta legi mai specifice
 Legi deja specifice în vigoare (de exemplu, păstrarea datelor
angajaților)
 Scopuri de arhivare în interes public, în scopuri de cercetare
științifică sau istorică, în scopuri statistice
 Prelucrarea categoriilor speciale de date
 Prelucrarea în conformitate cu obligația legală
 MODIFICĂRI CHEIE
o Consolidarea drepturilor persoanelor fizice (în special online)
o Protecția datelor începând cu momentul conceperii și protecția implicită
a datelor (tehnologie nouă dezvoltată)
o Responsabilitate: organizațiile trebuie să poată demonstra
conformitatea cu GDPR
o Competențe sporite pentru autoritățile de supraveghere
o Ghișeu unic
o Aplicare mai largă pentru oricine vizează consumatorii din UE
 Directiva privind protecția datelor în scopul asigurării respectării legii
 Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal de către autoritățile competente în scopul prevenirii, depistării,
investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor
 Statele membre au termen până la 6 mai 2018 pentru a transpune în legislația
națională
 Directiva asupra confidențialității și comunicațiilor electronice
 Prelucrarea datelor în rețelele publice de comunicații (nu în intranetul
companiei)

3
  GDPR nu impune obligații suplimentare față de cele din această directivă
o Directiva asupra confidențialității și comunicațiilor electronice trebuie
revizuită și modificată pentru a asigura coerența
 Instituțiile Uniunii Europene
o Tratatul de la Lisabona (2009): odată cu extinderea UE, trebuie să raționalizeze procesul
decizional pentru a îmbunătăți eficiența și viteza UE
 Consiliul European și BCE = statut instituțional, pot lua decizii obligatorii
 Carta drepturilor fundamentale = același statut juridic ca tratatele, obligatoriu din punct
de vedere juridic
 Polonia și Regatul Unit = Carta se aplică numai atunci când conține legi și practici
deja recunoscute în aceste țări
 Republica Cehă, de asemenea, cu dispoziții speciale
o Parlamentul European
 Membrii aleși direct de cetățenii UE
 4 responsabilități: (1) dezvoltarea legislativă, (2) supravegherea altor instituții, (3)
reprezentarea democratică, (4) dezvoltarea bugetului
 Colaborează cu Comisia pentru a prezenta noi acte legislative
o poate solicita Comisiei să prezinte Consiliului UE o propunere legislativă;
invită Comisia să aibă în vedere modificarea politicilor existente și
dezvoltarea altora noi;
 Competența de a cenzura Comisia: Comisia trebuie să prezinte Parlamentului rapoarte
în mod regulat
 6-96 de membri pentru fiecare stat fac parte din grupuri politice la nivel european (mai
degrabă decât din state membre)
 Grupul trebuie să aibă minimum 25 de membri, cu cel puțin 1/4 stat membru
reprezentat în cadrul grupului
 Pregătirea raportului pentru sesiunea plenară
 În sesiune plenară, Parlamentul examinează, modifică și votează legislația
propusă
 Votare = majoritate simplă
 Împarte puterile legislative cu Counsel of Europe
 Procedura ordinară: ambele instituții trebuie să își dea avizul cu privire la
legislație
 Procedura de consultare: Consiliul trebuie să consulte Parlamentul, dar nu are
obligații
 Procedura de aprobare: decizii importante, este necesară aprobarea
Parlamentului
 ROLUL ÎN PROTECȚIA DATELOR: întreaga legislație privind protecția datelor adoptată
prin procedura legislativă ordinară > Parlament cu rol important și egal în adoptarea
 Susținător vocal al dreptului la viață privată
o Consiliul European
 Adunarea șefilor de stat, instituție executivă
 Se întrunește de 4 ori pe an, astfel încât șefii de stat să poată discuta problemele care
afectează comunitatea
o Consiliul UE
 Un ministru pentru fiecare stat, legiferează împreună cu Parlamentul
 Principalul organism decizional, scrie legislația propusă de Comisie

4
  Încheie acorduri internaționale negociate de Comisie
 Consiliul a fost criticat pentru că este nedemocratic și lipsit de transparență – > acum
ședințele au loc în public
 Președinția prin rotație
 Majorități calificate
o Comisia Europeană
 Creat din fuziunea dintre Eur Coal and Steal Comm și Eur Atomic Energy Comm
 Organ executiv, pune în aplicare deciziile și politicile UE
 Asigurarea aplicării tratatelor și a măsurilor adoptate de instituții
 Aplicarea dreptului UE sub controlul CEJ
 Executați bugetul și gestionați programele
 Inițiază acte legislative
 Legislația UE poate fi adoptată numai la propunerea Comisiei
 competența de a lua măsuri juridice și administrative, inclusiv de a impune amenzi
statelor membre care nu respectă legile; Autoritatea de supraveghere asupra altor
instituții
 Comisari independenți fără loialitate față de statele membre care îi trimit
 Selectat pe baza "competenței generale și a angajamentului european"
 ROL ÎN PROTECȚIA DATELOR: creează legislație; pot adopta " constatări privind
caracterul adecvat al nivelului de protecție" cu privire la care statele care nu sunt
membre ale UE să asigure niveluri adecvate de protecție a datelor; pune în aplicare
Carta drepturilor omului, asigurând astfel un nivel ridicat de protecție a drepturilor
persoanelor la viață privată și la protecția datelor
o Curtea Europeană de Justiție
 Cu sediul la Luxemburg, instituit prin Tratatul de la Paris din 1951
 Jurisdicție
 Acțiuni introduse de Comisie sau de statul membru împotriva neîndeplinirii
obligațiilor de către statul membru în tratat
 Acțiuni introduse de statele membre, de o instituție a UE sau de o persoană
fizică sau juridică pentru controlul legalității actelor unei instituții a UE
 Acțiuni introduse de statele membre, de o instituție a UE sau de persoane fizice
sau juridice împotriva instituțiilor UE în constatarea abținerii de a acționa
 Acțiuni inițiate în fața instanțelor naționale din care se face trimitere la CJUE cu
privire la chestiuni de interpretare sau validitate a dreptului UE
 Avize privind compatibilitatea acordurilor internaționale ale UE cu tratatele
 Recursuri pe motive de drept introduse de CFI (instanța inferioară a CEJ)
 Ia decizii cu privire la legislația UE și pune în aplicare deciziile europene pe baza:
 Acțiunile întreprinse de Comisie împotriva unui stat membru
 Acțiunile întreprinse de persoanele fizice pentru a-și exercita drepturile în
temeiul legislației UE
 28 de judecători numiți de guvern cu mandate de 6 ani; Un președinte dintre cei 28, ales
de judecători la fiecare 3 ani
 8 avocați generali (să emită avize fără caracter obligatoriu ale CEJ pentru a ajuta
CEJ să soluționeze cauzele)
 ROLUL ÎN PROTECȚIA DATELOR: implicat în cazuri privind protecția datelor (deciziile
CJUE referitoare la protecția datelor)

5
  Introducerea în fața instanțelor naționale, inițiată de Comisie împotriva statelor
membre
 Cazul Regatului Unit pentru nepunerea integrală în aplicare a normelor UE
privind confidențialitatea comunicațiilor electronice
 Google Spania vs. AEDP (2014), dreptul de a fi uitat
 Digital Rights Ireland v. Irlanda (2014): Nulitatea Directivei privind păstrarea
datelor în ceea ce privește articolele 7, 8 și 11 din cartă
 Smaranda Bara v. CNAS (cauza ANAF, 2015): datele cu caracter personal nu pot
fi transferate între organele administrației publice ale unui stat membru fără ca
persoana fizică să fie informată cu privire la transfer
 Weltimmo v. Autoritatea pentru Protecția Datelor din Ungaria (2015):
transferuri transfrontaliere în cadrul UE
 Schrems v. Data Protection Commissioner (2015): Sfera de siguranță a SUA a
fost invalidată ca fiind inadecvată
o Curtea Europeană a Drepturilor Omului* (fondată de CoE, nu de UE)
 Nu este o instituție a UE, nu există competențe de punere în aplicare
 Hotărârile sunt obligatorii, țările sunt obligate să le respecte
 Deciziile CEDO pot oferi despăgubiri părților vătămate
 Numărul judecătorilor=numărul membrilor Consiliului Europei care au ratificat
Convenția, dar nu reprezintă niciun stat
 Camerele formate din 7 judecători soluționează cauze, cheltuieli suportate de
Consiliul Europei
 Jurisdicție
 Toate cauzele privind interpretarea sau aplicarea CEDO
 Cazurile pot fi trimise de statele contractante sau de Comisia Europeană a
Drepturilor Omului
o Statele ai căror cetățeni sunt suspectați a fi victime ale unei încălcări a
CEDO, statele care au înaintat cazul Comisiei și statele împotriva cărora
a fost depusă o plângere (în cazul în care competența obligatorie a
CEDO sau consimțământul pentru audierea cauzei de către CEDO) pot
introduce acțiuni
o Încălcarea trebuie să fi fost comisă de un stat obligat să respecte CEDO
 Curtea Europeană a Drepturilor Omului nu are competența de a anula decizii
naționale sau de a anula legislații naționale; lipsa competențelor de executare
(CoE se ocupă după luarea unei decizii)
 ROL ÎN PROTECȚIA DATELOR: asigurarea dreptului la viață privată (nu la protecția
datelor!) protejat; CEDO a fost activă în domeniul protecției datelor
 Trei cauze franceze (2009): Curtea a reafirmat rolul fundamental al protecției
datelor cu caracter personal, dar a statuat că prelucrarea automată a datelor în
scopuri polițienești și, mai precis, "includerea reclamanților în baza de date
națională a poliției privind infractorii sexuali nu contravine articolului 8".
 MM/Regatul Unit (2012): este puțin probabil ca colectarea nediferențiată și pe
durată nedeterminată a datelor privind cazierele judiciare să respecte articolul 8
 Copland v. Marea Britanie (2007): monitorizarea e-mailului solicitantului la locul
de muncă este contrară articolului 8, deoarece legea nu prevede acest lucru
 Gaskin contra Marii Britanii (1989): restricționarea accesului reclamanților la
dosarul său contrar articolului 8

6
  Haralambie v. România: obstacolele puse în calea reclamantului atunci când a
solicitat accesul la dosarul serviciilor secrete întocmit pe numele său în zilele
regimului comunist era contrar art. 8
 Cadrul legislativ
o Convenția 108 (1981)
 Primul instrument internațional obligatoriu din punct de vedere juridic în domeniul DP
 Motivele pentru C108: (1) nerespectarea de către statele membre a răspunsului la
rezoluțiile CoE din '73 și '74 privind protecția vieții private și (2) necesitatea consolidării
principiilor găsite în aceste rezoluții cu un instrument obligatoriu
 Deschis pentru semnare pe 28 ianuarie 1981
 Demn de remarcat din 3 motive
 Bazat pe o serie de principii care abordează principalele preocupări legate de DP
(acuratețea și securitatea PD, dreptul de acces) care și-au găsit drumul în
directivă și GDPR
 Ambele asigură protecții adecvate pentru viața privată individuală și recunosc,
de asemenea, importanța fluxului liber al PD pentru comerț și exercitarea
funcțiilor publice
 Instrument obligatoriu din punct de vedere juridic: solicită statelor semnatare să
pună în aplicare principiile prin adoptarea legislației naționale
 Scop: realizarea unei mai mari unități între statele semnatare și extinderea garanțiilor
pentru drepturile și libertățile fundamentale ale persoanelor
o Directiva privind protecția datelor (95/46/CE) (1995)
 A apărut deoarece doar un număr mic de state au ratificat C108, iar legile statelor
membre au adoptat o abordare fragmentată în punerea sa în aplicare: au devenit un
impediment în calea drepturilor la viață privată
 A marcat punctul de plecare al conducerii UE în PD european și relativa retrogradare a
importanței C108
 UE nu poate elabora legi independente privind drepturile omului, spre deosebire de
CoE: trebuie să se bazeze pe dispoziții specifice în temeiul Tratatului de la Roma = > ***
PE BAZA MĂSURII DE ARMONIZARE A PIEȚEI INTERNE
 Reglementează libera circulație a datelor cu caracter personal între statele
membre
 Ca directivă, a creat interpretări diferite adoptate de statele membre din întreaga
Europă
 Necesitate și adecvare Concepte-cheie în directivă (motive legale pentru prelucrare și
niciun transfer către țări care nu oferă un nivel adecvat de protecție)
 Tratează datele manuale și automate la fel
 Principii cheie:
 Prelucrarea corectă și legală
 Colectate într-un scop specific și legitim, nu sunt prelucrate într-un mod
incompatibil cu acest scop
 Adecvate, relevante, neexcesive
 Exacte și actualizate
 Nu se păstrează mai mult decât este necesar
 Prelucrate în conformitate cu drepturile persoanelor fizice
 Măsuri tehnice și organizatorice adecvate

7
  Transferate numai în afara SEE către țări cu niveluri adecvate de protecție a
datelor
 Se aplică numai operatorilor de date stabiliți în statele membre ale UE sau în cazul în
care C utilizează echipamente de prelucrare a datelor pe teritoriul unui stat membru
(cerința de a numi un reprezentant)
 Categorii speciale de date identificate: rasă, etnie, politică, religie, apartenență sindicală,
informații despre sănătate și viața sexuală
 Înființarea APD, WP29 fiind un organism independent compus din reprezentanți ai DPA
 Renunțat la GDPR în încercarea de a avea o aplicare și o interpretare mai consistente
 3 factori de revizuire: divergența măsurilor și practicilor naționale în
implementare, impactul asupra întreprinderilor și persoanelor fizice, evoluțiile
tehnologice
 Obiective principale: protejarea datelor individuale, reducerea birocrației pentru
întreprinderi, garantarea liberei circulații a datelor în cadrul UE
 Principalele modificări de la directivă la GDPR:
 Cerințe de administrare eliminate (de exemplu, cerințe de notificare, costuri
nejustificate pentru companii)
 Creșterea responsabilității și a responsabilității pentru prelucrarea PD
 Autoritatea principală/APD principală
 Un control mai mare al persoanelor asupra datelor (este necesar un
consimțământ mai explicit)
 Portabilitate îmbunătățită pentru a îmbunătăți concurența între furnizorii de
servicii
 Dreptul de a fi uitat
 Asigurarea aplicării normelor UE atunci când datele UE prelucrate în străinătate
sau serviciile UE sunt comercializate cetățenilor UE
 Consolidarea competențelor și sancțiunilor APD
 Principii și norme pentru cooperarea polițienească și judiciară în materie penală
 Procesul trilogului între Comisie, Parlament și consilierii miniștrilor cu mai multe
proiecte pentru a conveni asupra regulamentului final
o GDPR (2018)
 Pas esențial pentru consolidarea drepturilor fundamentale ale cetățenilor în era digitală
și facilitarea afacerilor prin simplificarea normelor pentru întreprinderi pe piața unică
digitală
 Conține atât dreptul operativ, cât și considerentele care ajută la interpretarea legii
 Principalele modificări față de directivă:
 Aplicarea legii: direct aplicabilă în toate statele membre, fără a adopta un act
constitutiv
o Nu se limitează la operatorii de date
 Raza de acțiune a statutului cu braț lung (nu este necesară stabilirea)
o Determinată de locația persoanei vizate, dacă bunurile sau serviciile
oferite sau comportamentul monitorizat
o Urmărirea DS pe Internet pentru a analiza sau prezice preferințele
personale va declanșa aplicarea regulamentului, inclusiv urmărirea
cookie-urilor sau utilizarea aplicațiilor
 Punerea persoanelor în controlul datelor lor: consolidarea consimțământului și a
drepturilor DS

8
 o Consimtamantul nu poate fi grupat cu T&C, poate fi retras oricand intr-
un mod usor, explicat persoanelor fizice inainte de obtinerea
consimtamantului
o Restricție pentru copii
 Drepturi individuale mai noi și mai puternice
o Obligații în materie de transparență, drepturi la portabilitatea datelor,
restricționarea prelucrării, dreptul de a fi uitat
o Păstrarea drepturilor existente: accesul subiectului, rectificarea,
ștergerea, dreptul la opoziție, dreptul de a percepe o taxă a fost
eliminat
 Un nou regim de responsabilitate: responsabilizarea întreprinderilor pentru
practicile lor în materie de date
o Companiile implementează politici de protecție a datelor
o Protecția datelor începând cu momentul conceperii și protecția implicită
a datelor
o Obligații de ținere a evidențelor
o Cooperarea cu APD
o EIPD
o Consultarea prealabilă cu APD în situații de risc ridicat
o DPO obligatorii pentru anumiți C și P
 Noi obligații ale procesatorului de date
o Nu pot subcontracta cu sub-P fără acordul C
o Multe obligații similare cu C sau obligația de a-l ajuta pe C să respecte
GDPR
 Transferuri internaționale de date: restricțiile continuă să existe
o să introducă garanții adecvate, cu condiția să existe drepturi opozabile și
căi de atac eficiente pentru persoane
o BCR menționează acum în mod explicit, alături de SCC-uri, coduri de
conduită, mecanisme de certificare, alte contracte aprobate de APD
o Mecanismul pentru asigurarea coerenței pentru APD
 Securitate: măsuri tehnice și organizatorice adecvate pentru protejarea datelor
cu caracter personal
o Raportați încălcările securității datelor către DPA în 72 de ore, raportați
încălcările cu risc ridicat către DS
 Asigurarea respectării normelor și creșterea riscului de neconformitate
o Persoanele fizice au dreptul la despăgubiri, pot obliga o APD să dea curs
unei plângeri
o Drepturile pot fi exercitate de organismele de protecție a
consumatorilor în numele persoanelor fizice
o Potențial pentru sancțiuni severe, în special pentru încălcarea
principiilor de bază (consimțământ), a drepturilor DS, a transferurilor
internaționale legale de date, a obligațiilor în temeiul legilor statelor
membre și a ordinelor APD
o LEDP (2008) ·
 Protecția PD în cooperarea polițienească și judiciară în materie penală
 3 obiective principale:

9
  (1) o mai bună cooperare între autoritățile de aplicare a legii, îmbunătățind
cooperarea privind lupta împotriva terorismului și a altor infracțiuni grave în
Europa,
 (2) o mai bună protecție a datelor cetățenilor, utilizând principiile necesității,
proporționalității și legalității, cu garanții adecvate și supravegherea de către
autoritățile naționale independente pentru protecția datelor, cu căile de atac
disponibile și
 (3) norme clare privind fluxurile internaționale de date pentru a asigura
protecția cetățenilor UE care să nu fie subminată
o Directiva asupra confidențialității și comunicațiilor electronice (2002)
 A înlocuit directiva din 1997 pentru a reflecta procesul de convergență, internetul
emergent
 Legislația UE în domeniul telecomunicațiilor a fost extinsă pentru a include toate
comunicațiile electronice
 Necesitatea unei protecții consecvente și egale, indiferent de tehnologiile utilizate
 Reforme menite să încurajeze o concurență sporită în industrie, opțiuni și măsuri de
protecție a consumatorilor, un drept mai puternic al consumatorilor la viață privată
 Se aplică "prelucrării PD în legătură cu furnizarea de servicii de comunicații electronice
accesibile publicului în rețelele publice de comunicații" în UE
 Rețeaua privată, cum ar fi intranetul companiei, nu este în general acoperită
(principiile directivei se aplică în continuare dacă PD este procesată)
 Prevederi cheie:
 Măsuri tehnice și organizatorice pentru a garanta securitatea serviciilor lor;
furnizorul de servicii are o obligație mai mare de a informa abonatul cu privire la
încălcarea securității datelor
 Statele membre trebuie să asigure confidențialitatea comunicațiilor și a datelor
privind traficul generate
o Excepții: consimțământul utilizatorului pentru interceptare și
supraveghere sau cel autorizat prin lege
 Cele mai multe forme de marketing digital necesită consimțământul prealabil
(opt-in)
o Excepție limitată pentru clienții existenți pentru produse și servicii
similare, în schimb furnizarea de renunțare
 Procesarea informațiilor despre trafic și facturare este restricționată
 Datele de localizare pot fi prelucrate numai dacă sunt anonimizate sau cu
consimțământul și pe durata necesară
 Abonații trebuie informați înainte de a fi plasați într-o listă oarecare telefonică
 Pentru a echilibra drepturile de confidențialitate a datelor cu libera circulație a datelor,
statele membre ar trebui să evite impunerea prea multor cerințe tehnice care ar
împiedica libera circulație
 Modificările
 Notificarea obligatorie a persoanelor pentru încălcarea securității datelor cu
caracter personal de către prestatorii de servicii către autoritățile pentru
protecția datelor și persoanele relevante, în cazul în care încălcarea este
susceptibilă să afecteze în mod negativ datele cu caracter personal sau viața
privată a unui abonat sau a unei persoane

10
  Persoanele fizice și ISP-urile pot introduce acțiuni împotriva comunicațiilor
nesolicitate (spam)
 Cookie-uri: permise numai cu condiția ca utilizatorul în cauză să își fi dat
consimțământul, după ce a primit informații clare și complete, în conformitate
cu directiva
o Excepții: stocarea sau accesul tehnic au ca unic scop transmisia
comunicației printr-o rețea de comunicații electronice sau sunt strict
necesare pentru furnizarea unui serviciu al societății informaționale
solicitat în mod explicit de abonat sau utilizator
 Mijloace prin care consimțământul trebuie obținut nu este specificat: consimțământul
lipsit de ambiguitate poate fi dedus din anumite acțiuni atunci când acțiunile conduc la o
concluzie inconfundabilă că consimțământul este dat cu condiția ca consimțământul să
îndeplinească standardul de a fi dat în mod liber, specific și informat (consimțământ
implicit)
 Reforma ePD
 Regulamentul privind confidențialitatea în mediul electronic este discutat
pentru a înlocui ePD, pentru a armoniza cadrul și pentru a asigura coerența cu
GDPR
 Caracteristici cheie:
o Aplicare mai largă (toți furnizorii de servicii de comunicații electronice)
o Set unic de reguli
o Confidențialitatea E-Comms (accesul la conținut interzis fără
consimțământul utilizatorului, excepție pentru a proteja interesul
public)
o Consimțământul pentru prelucrarea conținutului și metadatelor
comunicării: anonimizat sau șters dacă utilizatorii nu își dau
consimțământul, cu excepția scopurilor de facturare
o Noi oportunități de afaceri: permit operatorilor de telecomunicații să
aibă mai multe oportunități de a utiliza datele și de a furniza servicii
suplimentare
o Cookie-uri: în prezent o supraîncărcare a cererilor de consimțământ,
eficientizarea procesului
 Permiteți utilizatorilor să aibă mai mult control asupra setărilor
 Nu este necesar consimțământul pentru cookie-urile care nu
intră în confidențialitate care îmbunătățesc experiența pe
Internet (de exemplu, amintirea istoricului coșului de
cumpărături)
 Cookie-urile setate de site-ul web la numărul de vizitatori nu
mai necesită consimțământ
o Protecția împotriva spamului: interzice comunicațiile electronice
nesolicitate prin orice mijloace, înregistrați-vă pe lista de apeluri care nu
sună, apelurile de marketing vor trebui să se identifice singure
o Asigurarea respectării normelor: responsabilitatea autorităților
naționale pentru protecția datelor
 Consecințele încălcării: reflectă GDPR
 Propunere de introducere a "intereselor legitime" ca o altă justificare pentru
prelucrarea datelor

11
 o Directiva privind păstrarea datelor (2006)
 Conceput pentru a asigura disponibilitatea datelor privind traficul și localizarea în scopul
infracțiunilor grave și al combaterii terorismului
 2014: CJUE a declarat nevalidă directiva pe motiv că are un domeniu de aplicare
disproporționat și este incompatibilă cu drepturile la viață privată și DP în temeiul Cartei
drepturilor fundamentale a UE
o Impactul asupra statelor membre
 Coerența și punerea în aplicare la timp, o problemă cu directivele
 A acordat statelor membre libertatea de a stabili cu precizie condițiile în care
prelucrarea PD este legală
 Au fost utilizate mecanisme diferite în diferite SM
 Controlorii din mai multe state membre au trebuit să respecte obligații
contradictorii, cum ar fi notificările, transferurile internaționale de date și
cerințele de marketing direct
 Statele membre au limită de timp pentru a pune în aplicare o directivă
o Comisia asigură punerea în aplicare în mod corespunzător și poate lua
măsuri în cazul în care punerea în aplicare contravine legislației UE
o Dacă SM nu se implementează la timp, se iau măsuri împotriva acesteia
 Efect direct = persoanele fizice se pot prevala imediat de acesta pentru a
introduce acțiuni împotriva guvernelor în fața instanțelor naționale
 Statele membre și instanțele acestora trebuie să își interpreteze legile în lumina
textului și a scopului directivei, chiar dacă acestea nu au fost încă puse în
aplicare
 Efectul direct al reglementării
 Actele naționale privind DP vor înceta să mai fie relevante pentru toate
aspectele care intră în domeniul de aplicare al RGPD
 Reglementările direct aplicabile în statele membre, nu necesită implementare
ulterioară, se aplică imediat în întreaga UE începând cu 25 mai 2018

Secțiunea II: Legea și regulamentul european privind protecția datelor

 Concepte de protecție a datelor
o Evoluțiile tehnologice au schimbat modul în care întreprinderile operează și necesită acum
protecție pentru datele cu caracter personal
 Noua definiție a datelor cu caracter personal pentru a include identificatorii online
o Date cu caracter personal (largi, se aplică chiar și atunci când legătura cu persoana este slabă)
 Patru elemente constitutive: (1) orice informație (2) referitoare la (3) o persoană fizică
identificată sau identificabilă (4)
 Orice informație
 Uită-te la natură, conținut și formă
 Afirmații despre o persoană, atât obiective, cât și subiective
 Nu trebuie să fie adevărat pentru a fi date cu caracter personal
 Informații despre viața privată a individului și informații privind orice activitate
întreprinsă de individ; De asemenea, identificatori online (creare profil)
 Informații disponibile sub orice formă: prelucrate prin mijloace automate, dar și
prin mijloace manuale, dacă fac parte dintr-un sistem de evidență (destinat să
fie neutru din punct de vedere tehnologic)
 Referitor la:

12
  Despre o persoană
 Se poate referi la obiecte, procese sau evenimente: determinate de scopul
procesării (de exemplu, informații despre o mașină pentru a procesa factura
unei persoane)
 Conținut (informații despre o persoană), scop (prelucrat pentru a evalua, lua în
considerare sau analiza o persoană), rezultat (prelucrarea are un impact asupra
drepturilor și intereselor individuale)
 Identificat sau identificabil
 Nu că cineva este identificat, ci că este posibil să se facă acest lucru prin
combinarea datelor cu alte informații (chiar dacă alte informații nu sunt
păstrate de operatorul de date (identificare puzzle)
 Identificarea ipotetică nu este suficientă, ar trebui să fie în mod rezonabil
probabilă (luând în considerare costurile, tehnologia disponibilă și evoluțiile
tehnologice)
 De exemplu, CCTV: scopul este de a identifica persoanele
 Adresele IP dinamice pot fi legate cu ajutorul ISP-urilor, deci sunt PD
 GDPR nu se aplică informațiilor anonime; pseudonimizarea oferă o cale de
mijloc, dar nu elimină organizația din GDPR
o Măsura pentru a se asigura că PD care nu poate fi atribuită persoanelor
fizice este o bună securitate
o Măsurile de protecție ajută la minimizarea datelor
 Agregarea în scopuri statistice are ca rezultat date fără caracter personal, dar
contextul poate permite identificarea dimensiunii eșantionului care nu este
suficient de mare
 Persoană fizică
 Indiferent de țara de reședință; nu se aplică persoanelor decedate sau datelor
organizaționale
o Date cu caracter personal sensibile (categorii speciale)
 Informații în cazul cărora prelucrarea ar putea crea riscuri semnificative pentru
drepturile și libertățile fundamentale ale persoanelor
 Categorii: rasă, etnie, opinie politică, religie, apartenență sindicală, date genetice sau
biometrice (pentru identificarea unică a persoanei fizice), date de sănătate, orientare
sexuală, viață sexuală
 Sănătate = stare de sănătate trecută, prezentă sau viitoare, sănătate fizică sau
mentală
o Înregistrarea pentru servicii de sănătate sau furnizarea de astfel de
servicii, informații obținute în urma testării sau examinării corpului sau a
substanței corporale
 Prelucrarea fotografiilor (poate dezvălui rasa, etnia, dizabilitatea fizică = sănătatea)
o Controlori și persoane împuternicite de operatori
 Controlor: determină scopul și mijloacele de prelucrare a datelor, factor de decizie cheie
 Responsabilitatea de a asigura prelucrarea are o bază legitimă, drepturile DS
sunt onorate și de a determina dacă notificarea APD sau DS este necesară atunci
când există o încălcare
 Este probabil să fie prima țintă a aplicării de către APD, nu de către SP
 ID-ul C ajută la determinarea APD care are autoritate asupra activității de
prelucrare

13
  Poate fi o persoană fizică, dar, în general, organizația sau compania, mai
degrabă decât o anumită persoană numită de operator
o Dacă prelucrarea are loc în afara domeniului de aplicare și a controlului
C, persoana fizică poate deveni controlor
 Împreună: dacă același set de date/mijloace și scopuri de prelucrare stabilite de
doi operatori separați, pot fi prelucrate în comun (același set de informații poate
fi prelucrat separat de operatori diferiți și nu poate fi prelucrat împreună)
o Societățile-mamă pot deveni operatori asociați cu filialele
o Determinați responsabilitățile respective pentru conformitatea GDPR de
la început, astfel încât controlul comun să nu evolueze în timp; să aloce
în mod clar responsabilitățile pentru o posibilă încălcare a securității
datelor
o Controlorii asociați trebuie să pună esența relației la dispoziția SP;
Drepturile DS pot fi exercitate împotriva fiecăruia dintre C
 Cs determină scopurile și mijloacele prelucrării: elemente de fapt sau
circumstanțe susceptibile de a deveni decisive (Ps poate deveni Cs)
o De ce și cum se prelucrează: de ce are loc prelucrarea și care este rolul
părților implicate în prelucrare
 PS au o anumită discreție în efectuarea cum-ului fără a deveni
Cs: "mijloace" nu este doar modul tehnic de prelucrare, ci și ce
date sunt prelucrate, care3 rd părți au acces, ce date sunt șterse,
cât timp sunt păstrate etc
 PS poate determina tente tehnice și organizaționale, cum ar fi
ce tip de software să utilizeze pentru procesare
 Elementele esențiale ale procesării sunt cu C
 3 surse de control: competență juridică explicită, competență implicită,
influență factuală
 Persoană împuternicită de operator: poate prelucra date numai pe baza instrucțiunilor
documentate ale controlorului
 Persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care
prelucrează datele cu caracter personal în numele operatorului
 Cerințe GDPR P: securitate, păstrarea evidențelor, notificarea Cs cu privire la
încălcarea datelor și asigurarea respectării restricțiilor privind transferurile
internaționale de date
o Obligații referitoare la scopuri precum temeiul legal și respectarea
drepturilor SP impuse numai C
 Ps trebuie să prelucreze datele numai pe baza instrucțiunilor C și să aibă un
contract sau un act juridic obligatoriu care să reglementeze relația dintre C și P
în scris
 **Nou pentru P-urile din afara SEE, dacă prelucrarea pentru EEA-C trebuie să
respecte în continuare GDPR
 P cerințe contractuale: prelucrarea datelor numai pe baza instrucțiunilor
documentate de la C, inclusiv instrucțiuni privind transferurile; să se asigure că
personalul autorizat de acces este de acord cu confidențialitatea; să ia toate
măsurile pentru securitatea prelucrării; să respecte condițiile pentru
subcontractarea serviciilor de prelucrare a datelor; asistarea C cu măsuri

14
 adecvate de securitate tehnică și organizațională; asistă C în respectarea
obligațiilor prevăzute la articolele 32-36;
 Subcontractare: autorizarea prealabilă a lui C (poate fi generală sau specifică, cu
posibilitatea de a obiecta la adăugarea sau înlocuirea prelucrătorilor), contractul
dintre P și sub-P trebuie să includă dispoziții obligatorii privind prelucrătorul, iar
P inițial rămâne pe deplin răspunzător față de C pentru îndeplinirea sub-P-urilor
sale
 Cs și P ar trebui să determine gradul de judecată independentă pe care P o poate
exercita, monitorizarea de către C a executării serviciului, vizibilitatea/imaginea
portretizată de C pentru individ și expertiza părților
o Prelucrare
 Orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal
sau seturilor de date, cu sau fără utilizarea de mijloace automatizate, cum ar fi
colectarea, înregistrarea etc.
 Dificil de identificat ori când utilizarea PD nu este procesată, definiție largă
 Condiții: (1) prelucrarea trebuie efectuată integral sau parțial prin mijloace automatizate
sau (2) în cazul în care nu sunt mijloace automatizate, trebuie să se refere la
probabilitatea de nerambursare care face parte din sistemul de evidență (set structurat
de probabilități de nerambursare accesibil în conformitate cu criterii specifice
o Persoana vizată: persoană fizică identificată sau identificabilă, în legătură cu datele cu caracter
personal
 GDPR nu se extinde la persoanele juridice și nu se aplică persoanelor decedate
 Domeniul de aplicare teritorial și material al GDPR
o Domeniul teritorial de aplicare
 Organizații înființate în UE
 Dacă este stabilită în UE, nu contează unde are loc prelucrarea
 Stabilirea: exercitarea efectivă și reală a unei activități în cadrul unor înțelegeri
stabile (Weltimmo)
o Concept larg de stabilire: site web adresat persoanelor dintr-o țară,
folosind limba lor, reprezentant disponibil, căsuță poștală = este
suficient!
o Cetățenia DS irelevantă
o O organizație poate fi înființată atunci când exercită, "în mod stabil pe
teritoriul statului membru, o activitate reală și efectivă, chiar minimă".
 "În contextul activităților"
o GDPR se va aplica indiferent dacă prelucrarea are loc sau nu în Uniune
o Google împotriva Spaniei: o legătură suficientă între activitățile Google
Spain și Google, Inc. - legate în mod indisolubil datorită profiturilor
o Orice organizație cu birouri de vânzări în UE care promovează sau vând
publicitate sau marketing sau vizează persoane fizice din UE va intra în
domeniul de aplicare (de asemenea, companii de peste mări cu birouri
UE)
o Nu este utilizat în mod explicit pentru a stabili ce legislație a statului
membru ar trebui să se aplice: în cazul în care excepțiile sau derogările
diferă de la un stat membru la altul, ar trebui să se aplice legislația
statului membru sub incidența căruia intră C

15
 o Procesatorii de date cu sediul în UE intră și ei sub incidența GDPR, chiar
dacă C, DS și prelucrarea au loc în afara UE!! Nebun de larg
 Organizații cu braț lung care vând bunuri sau servicii persoanelor din UE sau
monitorizează comportamentele acestora
 DS trebuie să fie în UE, dar rezidența UE nu este neapărat o condiție prealabilă
 Vizarea DS UE
o Verificați dacă C sau P intenționează să ofere servicii către DS în UE
(dacă vinde din greșeală ceva unei persoane fizice din UE, nu neapărat în
temeiul GDPR)
o Factori relevanți: (1) utilizarea limbii UE, (2) afișarea prețurilor în
moneda UE, (3) posibilitatea de a plasa comenzi în limbile UE și (4)
trimiterea la utilizatorii sau clienții din UE
o Intenția de a viza clienții din UE poate fi demonstrată prin dovezi
"brevetate" (de exemplu, bani către un motor de căutare pentru a
facilita accesul în statele membre ale UE) și alți factori, cum ar fi natura
internațională a activității (activități turistice), menționarea numărului
de telefon cu codul țării, utilizarea numelui de domeniu al țării
(.de, .fr, .uk, .eu), itinerarii originare dintr-un stat membru, și mențiuni
privind clientela internațională, inclusiv clienții din statele membre
 Monitorizarea comportamentului
o Comportamentul trebuie să aibă loc în cadrul UE
o Urmărirea persoanelor online pentru a crea profiluri, analizarea sau
prezicerea preferințelor personale (cookie-uri)
 Drept internațional public
o Prelucrarea într-un loc în care dreptul public permite jurisdicția statelor
membre (de exemplu, ambasade și consulate ale statelor membre ale
UE, avioane, nave)
o Domeniul de aplicare material
 Probleme în afara GDPR (orice altceva este inclus)
 Securitate publică, apărare, securitate națională, politica externă și de securitate
comună a UE
 Scutirea gospodăriilor: activitate exclusiv personală sau domestică, care nu are
legătură cu activități profesionale sau comerciale (de exemplu, activități în
cadrul unor rețele sociale și activități online)
o Cs și P care furnizează mijloace de prelucrare a activităților casnice
aflate încă în domeniul de aplicare
o Lindqvist: scutirea nu se aplică prelucrării unei publicații pe Internet,
astfel încât datele să fie accesibile unui număr nelimitat de persoane
 WP29= publicarea informațiilor către întreaga lume, mai
degrabă decât către grupuri mici de prieteni, poate fi un factor
în aplicabilitatea scutirii
 Prevenirea, detectarea și urmărirea penală a sancțiunilor penale (competențe
ale poliției)
o Directiva privind protecția datelor în materie de asigurare a respectării
legii acoperă PD în aceste cazuri
o LEDP se aplică "autorităților competente": autoritate publică
competentă pentru prevenirea, investigarea, detectarea sau urmărirea

16
 penală a infracțiunilor SAU orice alt organism sau entitate însărcinată
prin legislația statelor membre să exercite autoritatea publică în
scopurile de mai sus
o Dacă datele prelucrate în scopuri diferite, autoritatea competentă poate
fi supusă atât GDPR, cât și LEDP
o Datele transferate către un alt organism care nu este o autoritate
competentă vor fi supuse GDPR
 Instituțiile UE
 Directiva asupra confidențialității și comunicațiilor electronice
 RGPD nu impune obligații suplimentare persoanelor care fac deja obiectul
Directivei asupra confidențialității și comunicațiilor electronice dacă directiva
abordează deja un domeniu
 Consimțământul pentru marketingul direct în cadrul ePD poate fi mai strict în
conformitate cu GDPR acum
 Comisia dorește să obțină o coerență deplină între RGPD și ePD
 Directiva privind comerțul electronic
 RGPD nu aduce atingere normelor din DCE, în special în ceea ce privește
furnizorii de servicii intermediari
 Cu toate acestea, ECD afirmă că aspectele legate de prelucrarea PD sunt excluse
din domeniul său de aplicare și sunt reglementate exclusiv de legislația
relevantă privind protecția datelor
 Principii de prelucrare a datelor
o Rezultă din Convenția 108 și din Directiva privind protecția datelor
o Legalitate, corectitudine și transparență
 Legalitate: temeiuri juridice pentru prelucrarea datelor
 Consimțământ
 Executarea contractului cu persoana vizată
 Obligație legală (în UE/statul membru)
 Interese vitale (viață sau moarte)
 Interesul public (exercitarea autorității publice)
 Interes legitim: necesar pentru interesul legitim al operatorului sau al terțului,
iar interesele nu sunt înlăturate de interese sau drepturi și libertăți
fundamentale ale persoanei vizate (echilibru!)
 Echitate
 DS trebuie să fie conștient de prelucrarea datelor, de modul în care datele vor fi
colectate și utilizate
 În anumite cazuri, prelucrarea este permisă automat de lege și considerată
corectă
 Uitați-vă la modul în care prelucrarea afectează SP: dacă impactul și impactul
negativ nu sunt justificate, prelucrarea va fi considerată nedreaptă
o De exemplu, atunci când site-urile de călătorii cresc prețurile locurilor
pe care le-ați vizitat de mai multe ori pe baza cookie-urilor, prelucrarea
este incorectă
o De exemplu, atunci când un ofițer de poliție vede că cineva pe care l-a
tras pe dreapta pentru depășirea vitezei are deja mai multe amenzi
pentru depășirea vitezei și crește amenda, este corect
 Transparență

17
  C trebuie să fie deschis și clar cu DS despre procesare (cum și de ce, sursă)
o Acesta este motivul pentru care req pentru a notifica DPA eliminat: nu a
ajutat DS deloc
 Exceptarea obligației de informare atunci când datele colectate direct de la SP și
SP au deja cunoștință de informații relevante
 Exceptarea în cazul în care C obține date dintr-o altă sursă ȘI: furnizarea de
informații va fi imposibilă sau va necesita eforturi disproporționate, pentru a
proteja interesul legitim al SP și pentru a păstra confidențialitatea informațiilor
 Necesită ca informațiile să fie transmise în timp util (a se vedea capitolul privind
notificările)
 Informațiile trebuie să fie clare, concise și ușor de înțeles și furnizate într-un
mod accesibil
o Luați în considerare următoarele circumstanțe: tipul de date, modul în
care sunt colectate și dacă informațiile sunt colectate direct sau indirect
o Luați în considerare dacă DS este un copil (req limbaj simplu și simplu),
dacă va fi implicat jargonul tehnic, încercați să utilizați un limbaj simplu;
Utilizați notificări de confidențialitate scurte și ad-hoc, cu linkuri către
texte mai lungi
 Utilizarea pictogramelor standardizate avute în vedere
o Limitarea scopului
 Prelucrați date numai pentru a îndeplini scopuri specificate, explicite și legitime, nu
prelucrați dincolo de aceste scopuri, cu excepția cazului în care au fost colectate date
suplimentare compatibile cu scopul inițial. Pentru a determina compatibilitatea, luați în
considerare:
 Legătura dintre scopurile prelucrării
 Contextul în care PD a colectat, așteptări rezonabile de la DS
 Natura PD (categorii speciale?)
 Consecințele prelucrării ulterioare către SP
 Existența unor garanții adecvate
 Identificați mai întâi scopul specific pentru prelucrarea PD
 În cazul în care prelucrarea ulterioară este compatibilă cu utilizarea inițială, poate fi
utilizat temeiul juridic original; în cazul în care este incompatibilă, este necesar un temei
juridic separat, iar C trebuie să notifice SP
o Minimizarea datelor
 Datele trebuie să fie relevante, necesare și adecvate pentru a îndeplini scopul pentru
care sunt prelucrate
 Necesitate: adecvate și rezonabile în scopul prelucrării
 De o natură necesară pentru atingerea scopului
 Adecvat dacă natura sau valoarea probabilității de nerambursare este
proporțională în raport cu scopurile
 Determinarea dacă scopul poate fi atins prin anonimizarea datelor ar putea
ajuta la evaluarea necesității (dezbrăcată de toți identificatorii unici)
 Proporționalității
 Luați în considerare cantitatea de date colectate: cantitatea mare de date fără
restricții va fi disproporționată
 Să analizeze impactul potențial negativ al mijloacelor de prelucrare și să verifice
dacă există alternative

18
  Se aplică și proiectelor Big Data
o Precizie
 CS trebuie să ia măsuri rezonabile pentru a se asigura că datele sunt exacte și actualizate
 Implementați procese pentru a preveni inexactitățile în timpul procesului de colectare a
datelor și al procesării continue a datelor
 Cs trebuie să evalueze cât de fiabilă este o sursă din care colectează informații
 Atunci când datele sunt colectate în scopuri statistice sau istorice, C trebuie doar să
mențină PD așa cum a fost colectat inițial
 Acuratețea poate necesita păstrarea înregistrărilor erorilor corectate
 CS trebuie să răspundă SP care solicită corectarea informațiilor
o Limitarea stocării (timp): datele nu sunt păstrate mai mult decât este necesar pentru scopurile
PD sunt prelucrate
 PD poate fi stocată mai mult timp dacă este anonimizată sau prelucrată exclusiv în
scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică sau în
scopuri statistice
 Cs poate păstra PD numai pentru o perioadă nelimitată de timp atunci când
datele sunt anonimizate ireversibil sau din alte motive de mai sus
 Ar trebui stabilite termene pentru ștergere sau revizuire periodică
 C revizuiește înregistrările personale ale angajaților atunci când relația se încheie,
determină ce trebuie păstrat în scopuri legale
 Atunci când legea este tăcută, trebuie stabilite politici interne de păstrare a datelor
pentru a respecta acest principiu
o Integritate și confidențialitate
 Protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii
sau deteriorării accidentale, utilizând măsuri tehnice și organizatorice adecvate
 Utilizați pseudonimizarea și criptarea datelor
 Alocați resurse suficiente pentru a dezvolta și implementa un cadru de politică privind
securitatea informațiilor
 Apelați la experți juridici și tehnici în securitatea datelor și alocați un buget dedicat
o De asemenea, responsabilitatea, adăugată în GDPR!
 Criterii legale de prelucrare
o Prelucrarea trebuie efectuată în mod legal, echitabil și transparent
o Situație de referință: prelucrare ilegală! C trebuie să demonstreze temeiul juridic pentru
prelucrare sau să prezinte excepții (jurnalism sau cercetare în cazul în care interesul pentru
libertatea de exprimare poate prevala)
o Prelucrarea datelor cu caracter personal normale
 Consimțământ (pentru scopuri specifice)
 Trebuie să fie oferite în mod liber, specifice, informate și lipsite de ambiguitate
o Oferit în mod liber = alegere autentică, cu posibilitatea de a refuza sau
de a se retrage
 Nu sunt oferite gratuit dacă sunt grupate cu alte aspecte (de
exemplu, achiziționarea unui serviciu)
 Cererea de consimțământ trebuie prezentată într-un mod clar
diferențiat de alte aspecte
 Dacă executarea contractului este condiționată de
consimțământul de prelucrare și prelucrarea nu este necesară
pentru executarea contractului, consimțământul nu va fi valabil

19
  Consimțământul nu ar trebui invocat atunci când există un
dezechilibru evident între SP și C (relația angajator-angajat,
consimțământ valabil posibil numai dacă angajatul are
posibilitatea reală de a refuza fără a suferi prejudicii: angajatorii
nu ar trebui să se bazeze pe consimțământ)
 Libertatea de revocare: prin urmare, C ar trebui să analizeze
dacă consimțământul este cea mai bună condiție pentru
prelucrarea pe termen lung
o Specific = legat de o anumită operațiune de prelucrare
 C ar trebui să explice în mod clar SP utilizarea propusă a datelor
 În cazul în care sunt mai multe scopuri, consimțământul ar
trebui dat pentru toate
 Dacă activitatea de prelucrare se modifică, poate fi
necesar să se obțină un nou consimțământ
 Pentru cercetarea științifică, dacă nu este posibil să se identifice
pe deplin scopurile, DS poate da consimțământul pentru
anumite domenii ale cercetării științifice
o Informed=DS având în vedere toate detaliile necesare ale activității de
prelucrare în limba și forma pe care le pot înțelege, știu cum le va afecta
prelucrarea
 DS ar trebui să cunoască cel puțin identitatea operatorului și
scopurile prelucrării
o Fără ambiguitate = declarația DS sau actul afirmativ nu trebuie să lase
nicio îndoială cu privire la intenția lor de a-și da consimțământul
 Nu se poate preselecta caseta de validare consimțământ, se
solicită DS să bifeze activ o casetă de selecție
 Absența unui răspuns sau căsuțele bifate în prealabil nu
constituie consimțământ
 În cazul în care consimțământul este preformulat, acesta trebuie să fie într-o
formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu și fără
clauze abuzive, în conformitate cu cerințele privind protecția consumatorilor
 Uneori este necesar consimțământul, astfel încât angajatorii să se poată baza pe
consimțământ plus o altă condiție legitimă de procesare pentru a crea buy-in
 În cazul obținerii unui consimțământ valabil, interacțiunile continue cu SP pot
oferi consimțământul continuu
 Momentul: consimțământul trebuie obținut înainte ca C să proceseze PD
 C trebuie să demonstreze că SP și-a dat consimțământul pentru operațiunea de
prelucrare, să țină evidența consimțămintelor date de o anumită SP
 Consimțământul nu este același lucru cu oferirea posibilității de a renunța,
necesită indicarea expresă a dorințelor și un fel de acțiune afirmativă
 Consimțământul obținut prin constrângere sau constrângere nu este valabil
o Este posibil ca anumite tipuri de persoane vulnerabile să nu-și poată da
consimțământul (minorii – necesită consimțământul titularului
responsabilității personale asupra copilului)
 În cazul în care este necesar consimțământul părinților, C
trebuie să depună eforturi rezonabile pentru a verifica
consimțământul dat de părinte sau tutore

20
  Regula vârstei minime de consimțământ numai în contextul (1)
serviciilor societății informaționale oferite direct unui copil și (2)
în cazul în care C se bazează exclusiv pe consimțământ sau nu se
poate baza pe un alt criteriu
 **C ar trebui să ia în considerare un alt criteriu pentru a procesa
PD copilului
 Necesitate
 Legătură strânsă și substanțială între prelucrare și scopuri (doar convenabil nu
contează)
 Nu este suficient ca C să considere prelucrarea necesară pentru scopurile sale,
trebuie să fie un test obiectiv dacă prelucrarea este strict necesară pentru
scopul declarat
 Executarea contractului în cazul în care DS este parte
 Când DS achiziționează un produs sau un serviciu de la C
 Prelucrarea PD trebuie să fie inevitabilă pentru finalizarea contractului
 Necesare pentru respectarea obligației legale la care este supusă C
 Trebuie să respecte legea, cum ar fi obligațiile fiscale sau de securitate socială în
UE
 Sub rezerva unor legi suplimentare ale statelor membre
 Pentru a proteja interesele vitale ale DS sau ale altei persoane fizice
 Situații de viață sau de deces, relevante numai în situații rare de urgență când
DS nu își poate da consimțământul (inconștient), furnizarea de asistență
medicală de urgență
 Nu există numai cu un alt temei de prelucrare
 necesare pentru îndeplinirea unei sarcini care servește unui interes public sau pentru
exercitarea autorității publice cu care este învestit operatorul
 Legislația statelor membre sau a UE va stabili sarcinile care sunt îndeplinite în
interes public
 DS are dreptul să se opună utilizării datelor sale
o În cazul în care C primește obiecții, C trebuie să demonstreze că are
motive legitime convingătoare pentru prelucrarea datelor, suficiente
pentru a prevala asupra intereselor, drepturilor și libertăților persoanei
vizate sau pentru stabilirea, exercitarea sau apărarea revendicărilor
legale
 Sub rezerva unor legi suplimentare ale statelor membre
 Necesare pentru interesele legitime urmărite de C sau de terți
 Cu excepția cazului în care prevalează interesele sau drepturile și libertățile
fundamentale ale DS (în special în cazul în care DS este un copil)
 **Test de echilibrare
 Autoritățile publice nu se pot baza pe motive de interes legitim, legiuitorii
trebuie să ofere un temei juridic pentru ca autoritățile publice să prelucreze
datele cu caracter personal
 Cerințe pentru a se baza pe această bază: (1) necesar în acest scop, (2) scopul
trebuie să fie un interes legitim al C sau al3-lea partener și (2) interesul legitim nu
poate fi anulat de interesele DS sau de drepturile și libertățile fundamentale
 Luați în considerare așteptările rezonabile ale DS

21
  Interesele legitime pot exista atunci când există o relație relevantă și adecvată
între SP și C, cum ar fi în cazul în care SP este client sau în serviciul C
 Prelucrarea PD pentru prevenirea fraudei constituie interes legitim
 Marketingul direct, scopuri de administrare internă, pot fi interese legitime
 Prelucrarea este strict proporțională și necesară pentru a asigura sec. de rețea și
informații
 Acest temei poate fi înțeles diferit de către autoritățile pentru protecția datelor
din UE (de exemplu.ICO = stabilirea legitimității interesului urmărit, apoi
demonstrarea faptului că prelucrarea nu este nejustificată în niciun caz
particular prin prejudicierea persoanei vizate)
o Chiar dacă există un prejudiciu care se referă la o anumită persoană din
cauza unor circumstanțe unice, nu prejudiciază neapărat întreaga
prelucrare
 Folosind acest criteriu, DS are dreptul să se opună utilizării datelor sale: atunci
când există o obiecție justificată din partea DS, C trebuie să înceteze prelucrarea
datelor
o Prelucrarea datelor cu caracter personal sensibile
 Fotografiile nu ar trebui considerate în mod sistematic date sensibile, deoarece sunt
considerate date biometrice numai atunci când sunt prelucrate prin mijloace tehnice
specifice care permit identificarea unică sau autentificarea unei persoane
 Utilizarea acestor categorii de date poate, prin natura lor, să reprezinte o amenințare la
adresa vieții private
 Datele cu caracter personal care sunt deosebit de sensibile în ceea ce privește drepturile
și libertățile fundamentale merită o protecție specifică, deoarece contextul ar putea
crea riscuri semnificative
 Influențat de legile anti-discriminare (explică prin SSN și numerele cardurilor de credit
nu sunt incluse)
 În unele jurisdicții, Cs trebuie să obțină permisiunea de la DPA înainte de procesare
 Cs trebuie să îndeplinească condițiile prevăzute la articolele 6 și 9 pentru a prelucra date
sensibile; asigură notificarea corectă și completă a Ds cu privire la modul în care datele
sunt utilizate în conformitate cu art. 12-14
 Punct de plecare = prelucrare interzisă, cu excepția cazului în care se poate găsi o
excepție
 EXCEPŢII
 Consimțământul (cu excepția cazului în care legislația UE sau a statelor membre
prevede că interdicția de prelucrare nu poate fi ridicată de DS: atunci trebuie
utilizat un alt criteriu)
o Fără ambiguitate, liber exprimată, specifică, informată și explicită
 Poate fi explicit pe hârtie sau în formă electronică cu semnături
digitale, făcând clic pe pictograme sau e-mail de confirmare
 Consimțământul trebuie să stabilească în mod explicit scopul
prelucrării (se referă de fapt la categoriile de date care vor fi
prelucrate)
 Poate fi necesar consimțământul scris și / sau o înregistrare
permanentă
o Este necesară o declarație sau o acțiune fără echivoc

22
 Necesare în scopul îndeplinirii obligațiilor și al exercitării drepturilor specifice ale
C sau SP în domeniul ocupării forței de muncă și al securității sociale și al
protecției sociale
o Necesar pentru ca C să respecte obligația legală în temeiul legislației
privind ocuparea forței de muncă, soc sec sau protecția soc
o Relevant pentru candidații, angajații și contractorii DS
o Testul necesității, amploarea criteriului depinde de legislația locală
privind ocuparea forței de muncă
 Necesar pentru protejarea intereselor vitale
o În cazul în care SP se află în incapacitate fizică sau juridică de a-și da
consimțământul
o Se așteaptă să încerce să solicite consimțământul înainte de a se baza pe
acest lucru
 Desfășurate în cursul activităților legitime cu garanții adecvate de către o
fundație, asociat sau alt organism non-profit cu scop politic, filosofic, religios sau
sindical
o Și cu condiția ca prelucrarea să se refere numai la membri sau foști
membri sau la persoane care au contacte regulate cu organizația în
legătură cu scopurile acesteia și ca PD să nu fie divulgată în afara
organismului fără consimțământul DS
o Biserici, partide politice etc
o Prelucrarea trebuie să aibă loc numai (1) în cursul activităților legitime,
(2) cu garanții adecvate și (3) în legătură cu scopuri specifice
 Datele cu caracter personal făcute publice în mod manifest de către DS
o Interviuri media, potențial platforme de rețele sociale
 Necesare pentru constatarea, exercitarea sau apărarea revendicărilor legale sau
atunci când instanțele acționează în capacitate judiciară
o Impune C să stabilească necesitatea: o legătură strânsă și substanțială
între prelucrare și scopuri
o Toate aceste prelucrări fac încă obiectul principiilor DP prevăzute la
articolul 5
 Interes public substanțial
o În temeiul legislației UE sau a statelor membre, care trebuie să fie
proporțională cu obiectivul urmărit, să respecte esența dreptului la
protecția datelor și să prevadă măsuri adecvate și specifice pentru a
proteja drepturile și interesele fundamentale ale SP
o Statele membre pot legifera, dar prelucrarea trebuie să fie (1)
proporțională cu scopul urmărit și (2) să demonstreze respectarea
esenței dreptului la protecția datelor
o Interes public definit de unele state membre (nedefinit de GDPR)
 Nu este obligată să notifice CE derogările în conformitate cu
Directiva
o Regatul Unit are criterii suplimentare pentru prelucrarea în interes
public: prelucrarea trebuie să fie necesară în scopul prevenirii sau
detectării oricărui act ilegal sau pentru a îndeplini orice funcție menită
să protejeze publicul împotriva comportamentului necinstit, grav

23
 necorespunzător sau a gestionării defectuoase în administrarea oricărei
organizații sau asociații
 Necesare în scopuri de medicină preventivă sau a muncii, pentru evaluarea
capacității de muncă a angajatului, diagnostic medical, furnizarea de asistență
medicală sau în temeiul contractului cu profesionistul din domeniul sănătății și
sub rezerva condițiilor și garanțiilor suplimentare
o Scopul asistenței medicale sau sociale
o Prelucrarea poate fi efectuată fie în baza legislației UE sau a statelor
membre, fie în baza unui contract cu un profesionist din domeniul
sănătății
o Excepția se aplică în principal medicilor, asistentelor medicale sau altor
persoane implicate în profesii din domeniul sănătății
 Excepția nu înseamnă că acești oameni sunt decât din restul
GDPR
o De asemenea, permite lucruri precum testarea antidrog a angajaților
pentru a se asigura că sunt apți de muncă
 Necesar din motive de interes public în domeniile sănătății publice
o Cum ar fi protecția împotriva amenințărilor transfrontaliere grave
pentru sănătate sau asigurarea unor standarde ridicate de calitate și
siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor
medicale
o Sănătate publică: toate elementele legate de sănătate, și anume starea
de sănătate, inclusiv morbiditatea și handicapul, factorii determinanți
care au un efect asupra stării de sănătate respective, nevoile de
asistență medicală, resursele alocate asistenței medicale, furnizarea de
asistență medicală și accesul universal la aceasta, precum și cheltuielile
și finanțarea asistenței medicale și cauzele moralității
o O astfel de prelucrare nu ar trebui să ducă la prelucrarea PD din alte
motive de către terți (de exemplu, angajatori, companii de asigurări sau
bănci)
o Permite supravegherea medicamentelor și a dispozitivelor mediale
pentru a asigura calitatea și siguranța
 Necesare în scopuri de arhivare în interes public, în scopuri de cercetare
științifică sau istorică ori în scopuri statistice
o Pentru a se baza pe acest criteriu, este necesar ca prelucrarea să aibă
garanții adecvate și să fie necesară pentru unul dintre scopurile care
stau la baza legislației UE sau a statelor membre, care trebuie să fie
proporțională, să respecte esența dreptului la DP și să prevadă garanții
adecvate
o **Anonimizarea reflectă cele mai bune practici
o Companiile farmaceutice și instituțiile academice ar trebui să exploreze
parametrii acestei excepții
o Date privind infracțiunile, condamnările penale și infracțiunile și măsurile de securitate
 Garantează un nivel mai ridicat de protecție
 Poate fi prelucrată numai sub controlul unei autorități oficiale sau atunci când
prelucrarea este autorizată de UE sau de un stat membru care prevede garanții
adecvate pentru drepturile și libertățile SP

24
  Controlorul din sectorul privat va trebui să examineze normele prevăzute de legislația
UE sau locală privind prelucrarea datelor
 **NU este considerată categorie de date sensibile în temeiul articolului 9
o Prelucrarea care nu necesită identificare
 În cazul în care C nu trebuie să identifice DS atunci când prelucrează date, C nu este
obligată să păstreze, să achiziționeze sau să proceseze informații suplimentare pentru a
identifica SP cu unicul scop de a respecta RGPD
 C nu trebuie să respecte obligațiile privind anumite drepturi ale SP, cu excepția cazului în
care DS furnizează informații suplimentare pentru a permite identificarea acestora
 Obligații de furnizare a informațiilor
o Transparență
 Datele trebuie transferate "în mod legal, echitabil" și transparent
 Informarea clară a persoanelor vizate cu privire la prelucrarea datelor lor cu caracter
personal, conștientizarea drepturilor acestora și a riscurilor, normelor și garanțiilor
legate de prelucrare
 DS informat cu privire la existența prelucrării și scopul acesteia
 Dacă temeiul prelucrării este consimțământul, trebuie informat (transparență!)
 DS trebuie să cunoască ID-ul operatorului
 Informațiile inexacte sau incomplete nu vor respecta standardul de transparență
 Temeiul interesului legitim pentru prelucrare: se poate aștepta în mod rezonabil un DS
la momentul și în contextul colectării PD că prelucrarea în acest scop ar putea avea loc
 Cerința generală de notificare DPA eliminată!!
o Dreptul DS de a primi anumite informații de la Cs, indiferent de locul de unde sunt colectate
informațiile
o Articolul 13: furnizarea de informații către SP atunci când informațiile sunt colectate direct
 Următoarele informații trebuie furnizate:
 ID-ul și datele de contact ale C
 Datele de contact ale DPO (dacă este cazul)
 Scopurile și temeiul juridic pentru prelucrare
 Dacă utilizați interesul legitim, care este interesul legitim urmărit
 Destinatarii sau categoriile de destinatari ai datelor
 Dacă C intenționează să se transfere într-o țară de a 3-a țară sau IO și dacă
există o decizie CE privind caracterul adecvat al nivelului de protecție și, în caz
contrar, ce garanții adecvate există pentru transfer
 Articolul 13 alineatul (2): pentru a asigura o prelucrare echitabilă și transparentă,
furnizați și următoarele date (trebuie furnizate numai atunci când este necesar pentru a
asigura prelucrarea corectă a PD: ar putea fi întotdeauna)
 Perioada PD va fi stocată sau criteriile utilizate pentru a determina această
perioadă
 Drepturile DS în legătură cu datele: (1) rt pentru a solicita accesul, rectificarea
sau ștergerea, (2) rt pentru a solicita restricționarea prelucrării, (3) obiecta la
prelucrare, (4) rt pentru portabilitatea datelor
o NB nu drepturi necondiționate, nu în toate circumstanțele, există
excepții
 În cazul prelucrării bazate pe consimțământ, rt să retragă consimțământul
 Rt să depună o plângere la autoritatea de supraveghere

25
  Dacă furnizarea PD este o cerință legală sau contractuală sau o cerință necesară
pentru a încheia un contract
 Dacă DS este obligată să furnizeze PD și consecințele în caz contrar
 Existența unui proces decizional automatizat, cunoscut și sub numele de
profilare
o Art 14: informații pentru a furniza DS atunci când informațiile primite indirect
 Totul cu articolul 13, plus categoriile de date cu caracter personal vizate și sursa datelor
 Nu există nicio cerință pentru a informa DS dacă furnizarea se bazează pe
cerințele legale sau contractuale sau pentru a explica dacă DS este obligată să
furnizeze informații și consecințele nerespectării acesteia
 Furnizați informații, cu excepția cazului în care se aplică o excepție
o Informații suplimentare de furnizat
 Art 15: Dreptul DS de a solicita informații
 Dreptul de a solicita C să restricționeze prelucrarea
 Dreptul de a vă opune prelucrării pe baza intereselor legitime C, necesitatea de
a efectua prelucrarea în interes public sau marketingul direct
 Dreptul de a se opune profilării
 Transferuri internaționale de date
 Pe baza interesului legitim: informat cu privire la transfer și care este interesul
 Pe baza consimțământului: posibile riscuri de transfer și garanții adecvate
 Pe baza BCR: informații în BCR, DS, drepturile de prelucrare și aranjamentele de
răspundere
 Noul scop al prelucrării
 DS trebuie să fie informată cu privire la motivul prelucrării dincolo de motivul
inițial
 Controlere multiple
 Esența aranjamentului ar trebui să fie "pusă" la dispoziția DS (diferită de
"furnizare")
 Încălcări ale securității datelor cu caracter personal: uneori trebuie să furnizeze
informații
o Când să furnizați informații
 Informații obținute direct de la DS: furnizați informații la momentul obținerii PD
 Obținut indirect: într-o perioadă rezonabilă de timp după obținere (în termen de 1 lună),
dacă este utilizat pentru comunicări, atunci la momentul primei comunicări cu DS și dacă
este dezvăluit unui alt destinatar cel târziu atunci când PD a fost dezvăluit pentru prima
dată
 În cazul unei noi prelucrări, SP trebuie informată înainte de o nouă prelucrare
 Dreptul DS de a obiecta trebuie furnizat cel puțin în momentul primei comunicări cu DS
 Informațiile privind dreptul de retragere a consimțământului trebuie furnizate înainte de
acordarea consimțământului
o Cum se furnizează informații
 Formă concisă, transparentă, inteligibilă și ușor accesibilă
 Luați în considerare publicul (diferit pentru copii)
 Același formular ca și informațiile furnizate (de exemplu, electronic, pe site-ul
web, prin e-mail etc.)
 Limbaj clar și simplu

26
  Informațiile corecte de prelucrare pot fi furnizate oral dacă sunt solicitate, atâta timp cât
ID-ul DS este dovedit prin alte mijloace
 Gratuit
 Se pot utiliza pictograme de vizualizare/standard
 Cereri de consimțământ
 Prezentate într-un mod clar diferențiat de alte aspecte
 Formă inteligibilă și ușor accesibilă
 Limbaj clar și simplu
 Dreptul de a se opune prelucrării trebuie adus la cunoștința SP în mod clar și separat de
alte informații
o Exceptări de la obligația de a furniza informații
 Noul scop al prelucrării: nu este necesar să se informeze dacă
 DS are deja aceste informații
 În cazul obținerii sau divulgării PD în legislația statului membru sub incidența
căreia intră C și care prevede măsuri adecvate pentru protejarea intereselor
legitime ale SP
 PD trebuie să rămână confidențială sub rezerva unei obligații de secret
profesional reglementată de legislația UE sau a statelor membre SAU
 Furnizarea de informații ar fi imposibilă sau ar implica un efect disproporționat
sau în scopuri de arhivare, în interes public, în cercetare științifică sau istorică
sau în scopuri statistice (dacă sunt îndeplinite condițiile și garanțiile pentru
prelucrarea acestor informații SAU furnizarea de informații privind prelucrarea
corectă care ar putea face imposibilă sau ar avea un impact grav asupra realizării
obiectivelor prelucrării)
 C ar trebui să ia măsurile adecvate pentru a proteja DS rts, libertățile și interesele
legitime
 Definirea "efectului disproporționat": numărul persoanelor vizate, vârsta de Parkinson,
măsurile compensatorii aplicate (garanții adecvate adoptate)
 Notificarea persoanelor cunoscute cu privire la deținerea datelor despre acestea este
lipsită de sens
 DS are în continuare dreptul de a solicita informații privind prelucrarea datelor, chiar
dacă se aplică o derogare de la obligația de a furniza informațiile
 Art 23: excepții pentru lucruri legate de aplicarea legii, interesul public și securitatea
națională
 Dreptul persoanelor vizate de a fi informate cu privire la restricții, cu excepția
cazului în care acest lucru ar aduce atingere scopului restricției
 Statele membre pot elabora legislație cu excepții pentru mass-media și artă
o Directiva asupra confidențialității și comunicațiilor electronice Cerințe
 Relevante pentru utilizarea cookie-urilor etc.
 Numai consimțământul disponibil: poate plasa cookie-uri, colecta informații, numai cu
consimțământ
 Informațiile despre cookie trebuie furnizate utilizatorului, iar utilizatorul trebuie
să consimtă înainte ca cookie-ul să fie plasat pe dispozitivul său
o Notificări privind prelucrarea corectă
 C trebuie să furnizeze informații sau să le aducă în mod specific la cunoștința/informarea
SP
 Factori pentru "furnizarea" sau "punerea la dispoziție" a informațiilor

27
  Nivelul informațiilor aflate deja la dispoziția SP
 Elementul de colectare sau prelucrare pe care DS l-ar considera neașteptat sau
inacceptabil
 Dacă consecințele (ne)furnizării datelor lor cu caracter personal sunt clare și
care sunt consecințele
 Natura PD colectate (categorii speciale??) și tipul de persoane (vulnerabile)
 Metoda prin care sunt colectate datele
 Dreptul la opoziție trebuie adus la cunoștința DS, nu doar furnizat:
 Trebuie furnizate informații:
 Clar, concis și ușor de înțeles într-un limbaj simplu, lipsit de ambiguitate și direct
 Cu adevărat informativ
 Exacte și actualizate
 În mod corespunzător
 Orientat spre viitor, dar realist (nu este necesar să enumerați toate utilizările
posibile ale datelor în viitor, ci cele previzibile în mod rezonabil)
 Beneficii comerciale pentru furnizarea de informații
 DS pune încredere în organizație, creează loialitatea și păstrarea clienților
 DS ar putea furniza date personale din ce în ce mai valoroase
 Riscul de reclamații și litigii care pot apărea din utilizarea PD va fi redus
 Modalități de transmitere a notificărilor:
 Notificări stratificate de procesare echitabilă: notificare inițială scurtă cu clicuri
către un formular mai complet, DS știe informațiile disponibile dacă le dorește
(formular adecvat, cum ar fi numărul gratuit pentru a apela dacă nu este online)
o 3 straturi recomandate
o Cs ar trebui să furnizeze imediat și în mod vizibil informații esențiale și
detalii privind prelucrarea care ar putea fi neașteptată sau inacceptabilă
o În primul rând ar trebui să fie ID-ul C și scopul la nivel înalt al prelucrării
o Beneficii: ajutați DS care poate prelua doar o anumită cantitate de date,
limitări de spațiu / timp, notificări mai lungi care afectează lizibilitatea
o Asigurați-vă că informațiile care trebuie aduse la cunoștința DS nu sunt
îngropate
 Notificări "exact la timp": furnizarea de informații la anumite puncte de
prelucrare
 Tablouri de bord de confidențialitate: pot permite DS să controleze modul în
care PD este procesat
 Formate alternative: vizualizare, pictograme standardizate, animații pentru copii
 Faceți disponibilă și o versiune fără straturi dacă DS trebuie să se refere la
aceasta
 Diverse tehnologii (de exemplu, CCTV, drone)
 Postați semne și fișe informative, atunci când sunt utilizate într-o anumită zonă,
notificând persoanele cu privire la utilizare, locul listei pentru informațiile de
contact și un preaviz mai lung (cod QR)
 Utilizați rețelele sociale etc., dacă doriți să le utilizați la evenimente
 Punerea la dispoziție a informațiilor de prelucrare pe site-ul web al operatorului
 Asigurați-vă că drona / camerele sunt vizibile și că operațiunea este, de
asemenea, clar vizibilă cu identificarea semnelor ca operator de drone
 Drepturile persoanelor vizate

28
o Consolidarea drepturilor, o ambiție principală a CE cu GDPR
 C ar trebui să depună eforturi rezonabile pentru a identifica SP
 Termenele de onorare a cererilor DS stabilite: cel puțin confirmă primirea cererii și
confirmă sau clarifică ceea ce se solicită în termen de o lună de la primirea cererii (poate
fi prelungit la încă 2 luni pentru cazurile de situații specifice și/sau solicitări deosebit de
complexe)
 În cazul în care organizația decide să nu continue, trebuie să notifice SP și să
ofere consiliere cu privire la posibilitățile de depunere a plângerilor
 Cererile primite electronic ar trebui să primească răspuns electronic, cu excepția
cazului în care DS dorește altceva
 Transparența este fundamentală: drepturile SP nu pot fi asigurate dacă acestea nu sunt
informate în mod corespunzător cu privire la activitățile lui C
o Dreptul la informare (cu privire la colectarea și prelucrarea datelor cu caracter personal)
 ID-ul lui C, motivele și scopurile prelucrării, temeiul juridic, destinatarii datelor,
transferul către țările3 , alte informații pentru a asigura prelucrarea corectă și
transparentă a datelor
 Sursa datelor, dacă este indirectă
o Dreptul de acces
 DS are dreptul de a obține confirmarea de la C dacă PD este prelucrată și, în caz
afirmativ, și următoarele informații
 Scopurile prelucrării
 Categorii de PD
 Destinatari (inclusiv transfer)
 Perioada preconizată pentru care va fi stocată probabilitatea de nerambursare
 Dreptul la ștergere sau rectificare
 Dreptul de a depune o plângere
 Sursa datelor, dacă este indirectă
 Existența unui proces decizional automatizat
o Dreptul la rectificare: rectificarea datelor inexacte
 C trebuie să se asigure că datele inexacte sau incomplete sunt șterse, modificate sau
rectificate
o Dreptul la ștergere (dreptul de a fi uitat)
 Dreptul la ștergere în cazul în care datele nu mai sunt necesare în scopul inițial și nu
există un nou scop legal, SAU baza legală este consimțământul și consimțământul este
retras fără motive legale suplimentare pentru prelucrare, SAU DS își exercită dreptul la
opoziție și C nu are motive pentru a prevala, SAU datele au fost prelucrate ilegal SAU
ștergerea necesară pentru respectarea legislației UE sau a statului membru național
 În cazul în care C a făcut publice datele și terții prelucrează, trebuie să informeze 3 rd
părți că DS și-a exercitat acest drept (exceptat dacă este imposibil de respectat sau ar
necesita eforturi disproporționate)
 Scutiri, dacă prelucrarea este necesară
 Pentru exercitarea dreptului la libertatea de exprimare și de informare
 Pentru respectarea obligației legale prevăzute de legislația UE sau a statelor
membre SAU pentru îndeplinirea unei sarcini care servește unui interes public
(sănătate publică, arhivare, cercetare științifică sau istorică ori scopuri statistice)
 Stabilirea, exercitarea sau apărarea împotriva revendicărilor legale
 Întărește dreptul de a fi uitat în mediul online

29
 o Dreptul la restricționarea prelucrării
 Dreptul de a restricționa dacă exactitatea datelor contestate (restricționați până la
verificarea exactității), prelucrarea este ilegală (DS poate solicita restricționarea în loc de
ștergere), C nu mai are nevoie de date în scopul inițial, dar este totuși necesar pentru
stabilirea, exercitarea sau apărarea drepturilor legale SAU Verificarea motivelor
imperative este în curs de examinare în contextul unei cereri de ștergere
 Cum se realizează acest lucru: mutați datele într-un alt sistem de procesare,
restricționați accesul, faceți indisponibile utilizatorilor, eliminați temporar de pe site
o Dreptul la portabilitatea datelor
 Dreptul de a obține date într-un format structurat, utilizat în mod obișnuit și care poate
fi citit automat pentru a le transfera unui alt operator sau de a solicita transferul direct
al acestora, dacă este fezabil din punct de vedere tehnic
 Dreptul de a transmite date către un alt C fără obstacole din partea C actual
o Dreptul la opoziție
 În cazul în care C utilizează "interese legitime" ca temeiuri legale, DS se poate opune
prelucrării
 După obiecție, C trebuie să demonstreze motive legitime convingătoare pentru
prelucrare > suficient de convingătoare pentru a prevala asupra intereselor,
drepturilor și libertăților persoanei vizate (de exemplu, pentru a stabili, exercita
sau apăra împotriva revendicărilor legale)
 În ceea ce privește prelucrarea în scopuri de cercetare științifică și istorică sau în scopuri
statistice, SP poate obiecta numai dacă prelucrarea nu este considerată necesară pentru
îndeplinirea unei sarcini îndeplinite în interes public
o Dreptul de a nu fi supus unui proces decizional automatizat
 Numai dacă o astfel de decizie se bazează exclusiv pe prelucrarea automată și produce
efecte juridice privind SP sau le afectează în mod similar într-o măsură semnificativă
 Chiar dacă prelucrarea intră sub incidența acestui articol, permisă dacă este autorizată
de lege, necesară pentru pregătirea sau executarea unui contract sau efectuată cu
consimțământul explicit al DS, cu condiția ca C să fi pus în aplicare garanții suficiente
 Securitatea datelor cu caracter personal
o De ce este importantă securitatea
 (1) starea de securitate, adesea o condiție prealabilă pentru obținerea conformității cu
alte principii ale DP;
 (2) cazurile grave de insecuritate garantează o acoperire mediatică negativă
 (3) controale de securitate deficitare = caracteristici diferite de amploare și prejudicii în
comparație cu alte încălcări ale DP
 Prejudicii: fraudă și furt de identitate
 Securitatea cibernetică și securitatea datelor se află în atenția liderilor naționali din
cauza daunelor pe care le-ar putea provoca
 Tensiunile dintre securitate și dreptul la viață privată (securitatea națională și
aplicarea legii)
o Principiul securității
 Articolul 5 alineatul (1) litera (f): Integritatea și confidențialitatea datelor
 5(2): Operatorii trebuie să fie în măsură să demonstreze conformitatea
 Articolul 32: măsuri tehnice și organizatorice adecvate

30
  Cs și P req pentru a implementa controale pentru a proteja împotriva
amenințărilor tehnologice complexe, precum și pentru a proteja împotriva
angajaților neglijenți
 Nu necesită securitate absolută
o Autoritățile de reglementare nu pot presupune eșecul juridic din cauza
eșecului operațional
 Abordarea bazată pe riscuri: evaluări ale riscurilor
o Natura datelor care urmează să fie prelucrate
o Amenințări previzibile în mod rezonabil
o Test de ultimă generație
o Luarea în considerare a costurilor
 Nu poate exclude o măsură bazată doar pe costuri
o Cele mai bune practici din industrie (de exemplu, criptarea deoarece
standardul industrial, nu cerința legală, dar neimplementarea a devenit
o problemă împotriva celor mai bune practici)
 Art 32(4): Persoane aflate sub controlul/care lucrează pentru C și P
 Probleme de confidențialitate
 Toți oamenii care au acces la PD prin muncă au o datorie de încredere
 Amenințare din interior: C și P ar trebui să aibă politici robuste care să alerteze
angajații cu privire la responsabilitățile lor în gestionarea PD, să ofere instruire
regulată și să facă consecințe clare pentru încălcarea politicii
 Art 28: Procesatorii și relația dintre Cs și Ps
 28 alineatul (3) litera (h): Prelucrătorii trebuie să poată demonstra
conformitatea
 28(1): transmiterea principiilor de securitate de la C la P și ulterior la sub-P
 C permis să utilizeze numai P care poate oferi garanții suficiente de
implementare a măsurilor tehnice și organizatorice adecvate
o Dovada înainte de semnarea contractului, audituri pentru asigurare
o Ps poate acționa numai la instrucțiunile lui Cs, altfel riscă să devină un C!
 P obligația de a-i oferi asistență lui C în ceea ce privește conformitatea și
reducerea riscurilor
o De exemplu, notificări privind încălcarea PD, detectarea eficientă a
incidentelor și răspunsul
 Art 30: Operatorii și persoanele împuternicite de operatori trebuie să țină evidența
activităților de prelucrare aflate sub responsabilitatea lor
o Notificare încălcare: Cerința operatorului de a notifica DPA
 Mecanism de transparență, încurajează atenuarea pierderilor și daunelor, ajută
societatea să înțeleagă cauzele eșecului, permite dezvoltarea răspunsurilor pentru a
minimiza riscul evenimentelor viitoare și impactul acestora
 Autoritățile de reglementare pot aplica un control negativ (proceduri de reglementare și
cereri de despăgubiri)
 În cazul în care entitatea raportoare s-a angajat în măsuri de securitate
adecvate, nu s-au întreprins alte acțiuni
 Art 4(12): trebuie să fie o încălcare reală a securității care să conducă la un rezultat
negativ > riscurile de încălcare a securității nu sunt luate în considerare, deși principiul
securității în sine încearcă să prevină riscurile
 Articolul 33: notificarea autorității de reglementare

31
  Declanșator: detectarea încălcării PD (C devine conștient de încălcare)
o Nu poate evita punerea în aplicare a măsurilor de detectare [articolul 5
alineatul (1) litera (f) din cerințele privind securitatea]
 Încălcarea care va cauza riscuri pentru rts și libertățile persoanelor trebuie să
notifice DPA
o NOTIFICARE FĂRĂ ÎNTÂRZIERI NEJUSTIFICATE: limită de 72 de ore
 Planul de răspuns la incidente pentru C
 Conceptul de risc nu este supus pragului de severitate, deoarece conceptul de
drepturi și libertăți este larg
 C trebuie să documenteze de fiecare dată când are loc o încălcare a datelor, să
păstreze înregistrări pentru totdeauna, mai ales dacă decizia nu îndeplinește
pragul de raportare DPA (să le înregistreze și pe cele care sunt raportate)
 **Ps trebuie să notifice Cs cu privire la încălcarea securității datelor cu caracter
personal fără întârzieri nejustificate
 Art 34: comunicarea cu persoana vizată
 Încălcările care prezintă riscuri ridicate pentru rts și libertățile persoanelor vizate
trebuie să furnizeze notificări persoanelor vizate
o Pragul de severitate nu este prezent la articolul 33
o Ce este un risc "ridicat"? Impactul asupra unui număr mare de persoane
vizate sau un prejudiciu deosebit de mare asupra anumitor persoane
 Excepţii
o Măsuri luate pentru a face PD neinteligibil (de exemplu, prin criptare
o C a luat măsuri pentru a preveni materializarea riscurilor ridicate
o Divulgarea încălcărilor ar implica eforturi disproporționate (de exemplu,
dacă C nu poate identifica toate persoanele afectate de încălcare)
 În acest caz, anunțul public larg este adecvat
 Autoritățile de reglementare pot solicita C să se angajeze în aceste comunicări
o Asigurarea securității
 Membrii companiei trebuie să lucreze împreună la toate nivelurile pentru a asigura
securitatea: conectați toate aspectele afacerii cu experții în securitate din organizație
 Evaluarea riscurilor, responsabilitatea și confidențialitatea începând cu momentul
conceperii
 Factori care trebuie luați în considerare la proiectarea răspunsului la incidente (printre
altele):
 Evaluarea amenințărilor și vulnerabilităților
 Factori umani
 Detectarea incidentelor și răspunsul
 Creați un exercițiu de cartografiere și inventariere a datelor pentru a identifica zonele de
captare a datelor și introducerea datelor = > trasați fluxul de date prin organizație până
la redundanță, când informațiile sunt șterse sau distruse
 Gestionarea eficientă este esențială: luați în serios abaterile de la politică și alte
incidente
 Luați în considerare consecințele unei încălcări grave a securității: controlul
negativ al terților
 Conștientizarea și atenuarea riscurilor interne
 Cultura conștientizării riscurilor, respectul pentru PD pentru a crea o bună
securitate

32
  Componentele cheie ale unei bune culturi pentru securitate includ:
o Înțelegerea riscurilor umane (evaluarea și atenuarea riscurilor, instruire)
o Procesul de recrutare: demonstrați valoarea securității și
confidențialității chiar și cu candidații la locuri de muncă
o Scrisoarea de ofertă și contractul de muncă: încorporați cultura
companiei
o Acceptarea ofertei de muncă: recrutul ar trebui să afirme citirea
cadrului de confidențialitate
o Inducție: program de inducție pentru angajați noi cu mai multă instruire
o Formare continuă
o Procese adecvate pentru a face față eșecului, măsuri disciplinare
o Încetarea angajării: returnarea componentelor fizice, asigurarea
încetării drepturilor de acces și a privilegiilor
 Documente de securitate
 Politica scrisă, reguli de securitate
 Adecvarea documentelor este unul dintre primele lucruri pe care autoritățile de
reglementare le vor lua în considerare în investigație
o Documentele inadecvate pot duce la o impresie proastă, iar în cazul
breșelor de securitate și al pierderii datelor pot oferi autorităților de
reglementare motive suficiente pentru a constata neconformitatea
 Reglementarea bazată pe politici este mult mai ușor de controlat și de controlat,
mai ieftină, mai rapidă, mai eficientă
 Protecția datelor începând cu momentul conceperii, EIPD și principiul
responsabilității presupun crearea și distribuirea înregistrărilor
 ABORDARE STRATIFICATĂ: stratul superior conține declarații de politică la nivel
înalt, nivelul de mijloc are controale implementate pentru a realiza politicile, iar
stratul inferior include procese și proceduri operaționale (de ce, ce și cum)
 Asigurați-vă că stiva de tehnologii robuste: antivirus, antispam, firewall-uri, prevenirea
pierderilor de date etc.
 Unele jurisdicții (Germania) au cerințe legale pentru a lucra cu comitetele de
întreprindere înainte de implementarea tehnologiilor
 Testat complet de testeri de penetrare (hackeri etici)
 Mediul fizic: CCTV, politici de birou curat etc.
 Gestionarea riscurilor P, furnizorilor și vânzătorilor
 Cs trebuie: (1) să aleagă procesatori fiabili, (2) să mențină QC și conformitatea
pe tot parcursul relației și (3) să aibă o relație cadru într-un contract care
conține dispozițiile necesare care să impună P să mențină securitatea, să
acționeze numai conform instrucțiunilor lui C, să coopereze cu C în ceea ce
privește conformitatea și să transmită în cascadă cerințele de-a lungul lanțului
de aprovizionare
 Efectuați audituri și evaluați părțile 3D înainte de a vă angaja cu acestea
 Cum se pot proteja C de problemele de conformitate cu articolul 28
o Lista de verificare a aspectelor care trebuie luate în considerare în etapa
pre-K DD
o Evaluarea riscurilor pentru a înțelege amenințările și provocările
generate de externalizare

33
 o Contractul ar trebui să conțină cadrul pentru asigurări continue (audituri
la fața locului, inspecții, teste, evaluări periodice ale conformității
continue)
o Răspuns la incidente
 Creați un plan de răspuns la incidente
 Aprobarea de către conducerea superioară (obțineți buy-in)
 Abordați aspectele anticipative ale incidentului și aspectele de răspuns ale răspunsului la
incident
 Includeți principii pentru luarea deciziilor, lista celor care vor fi implicați
 Șabloane pentru mesaje publice și comunicări
 Analiza comparativă în raport cu colegii de pe piață
 Analizați ceea ce este realist pentru organizație și echipa sa de răspuns la incidente
 Analiza decalajelor, exercițiu de descoperire pentru a afla ce se face deja,
revizuirea evenimentelor anterioare pentru succese și eșecuri din trecut
 Detectarea incidentelor: determinați dacă organizația a fost deja compromisă (mulți
hackeri invadează și nu acționează de ani de zile)
 Asigurați clasificarea corectă a incidentelor (dacă sunt clasificate greșit, pot duce la un
tratament incorect și la decizii de divulgare a încălcărilor)
 Creați un manual de proceduri pentru gestionarea incidentelor cel mai probabil
să apară
 Creați un plan pentru a face față consecințelor, ocupându-vă de mass-media, de
aplicarea legii, de persoanele vizate, de asigurători, de furnizori
 Cum să gestionați divulgarea încălcărilor
 Dezvoltați postura litigiilor
 Cerințe de responsabilitate
o În general, ce se schimbă
 Responsabilitatea înseamnă că DPA-urile pot face check-in oricând doresc pentru
respectarea celor 6 principii DP (nou în GDPR)!
 Organizațiile trebuie să încorporeze problemele DP în afacerile și operațiunile lor, să
promoveze o cultură a protecției datelor în cadrul companiei
 APD pot publica standarde de confidențialitate pentru programe DP eficiente (politici
interne și externe, DPO, audituri): dacă respectați standardele CNIL, primiți sigiliul de
confidențialitate
o Responsabilitatea operatorului
 Măsuri tehnice și organizatorice: iau în considerare natura, domeniul de aplicare,
contextul și scopurile prelucrării, precum și riscurile pentru drepturile și libertățile
persoanelor
 Cu cât este mai mare riscul prelucrării (prejudicierea reputației, discriminare,
dezavantaje economice sau sociale, privarea de drepturi și libertăți), cu atât este
mai mare măsura de reducere a riscului impusă de C
 Deținerea și implementarea politicilor este cel mai simplu mod de a dovedi
conformitatea cu DPA (fără politică = puțin probabil să aibă conformitate), dar acest
lucru nu este suficient singur: 3 domenii cheie
 Politicile interne: aspecte-cheie care ar trebui abordate
o Domeniul de aplicare: cui și tipurile de activități cărora li se aplică
o Declarație de politică: angajamentul față de protecția PD, descrierea
scopurilor prelucrării și scopul legitim de afaceri

34
 o Responsabilitățile angajaților: ce este permis fiecărui rol să facă cu
datele, limitări în ceea ce privește utilizarea, pașii de urmat, obligațiile
de securitate și acces, transferul PD interzis, cu excepția cazului în care
se stabilesc motive legitime (pașii pe care angajații ar trebui să îi urmeze
înainte de a transfera date), programe de instruire
 Politici de securitate a informațiilor: cele mai bune practici care
se bazează pe standardele industriale (ISO 27001/2), dar nu
sunt necesare
o Responsabilități de management: dezvoltați protocoale pentru
identificarea și abordarea riscurilor, responsabilitățile ar trebui alocate
în mod clar rolurilor individuale
o Raportarea incidentelor: angajații ar trebui să fie obligați în mod expres
să raporteze imediat incidentele de încălcare a securității datelor
(timpul este esențial: 72 de ore pentru a raporta la DPA); Stabiliți un
plan și o echipă de răspuns la incidente și testați în mod regulat
o Respectarea politicii: angajații care nu se conformează disciplinei
interne, compania și persoanele implicate ar putea fi supuse
sancțiunilor penale și civile, despăgubirilor și daunelor lichidate pentru
contractele terților pentru servicii
 Alocarea internă a responsabilităților
o Cs trebuie să fie în măsură să demonstreze APD resursele de gestionare
a DP
o Facilitarea supravegherii de către APD, permiterea exercitării
drepturilor, actualizarea periodică a politicilor
o Creați o echipă sau un consiliu de gestionare a confidențialității, numiți
DPO
 Formare
o Programe interne de informare a angajaților cu privire la obligațiile
legale ale DP
o Creați programe de instruire flexibile, adaptate anumitor roluri
o Documentarea și monitorizarea derulării programelor de instruire
o Protecția datelor începând cu momentul conceperii și în mod implicit (integrarea garanțiilor în
toate prelucrările)
 Confidențialitate prin design
 Încorporați DP în specificațiile de proiectare ale noilor sisteme și tehnologii
 Se aplică tuturor etapelor unui proiect sau produs, nu doar etapelor de
planificare și execuție a noilor dezvoltări
o Creați produse cu capacitatea încorporată de a gestiona și îndeplini
toate obligațiile GDPR
 Confidențialitate implicită
 Implementați măsuri tehnice și organizatorice adecvate pentru a vă asigura că
sunt procesate numai PD necesare pentru fiecare scop
 Limitați sau minimizați datele colectate, controale mai mari asupra gradului de
procesare
 PD trebuie păstrată în mod implicit numai pentru perioada necesară furnizării
produsului sau serviciului

35
  Obligația explicită de a implementa măsuri tehnice și organizatorice adecvate
pentru a îndeplini această cerință
 Cum să vă conformați: luați în considerare stadiul actual al tehnologiei, costul
implementării, natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și
riscurile cu probabilitate și gravitate diferite pentru drepturile și libertățile persoanelor
fizice
 Tipuri de tehnici de conformare: minimizarea PD procesată, pseudonimizarea,
permițând DS un control mai mare asupra datelor lor
 Asigurați-vă că PD ușor de căutat și găsit, corectat, colaj devreme; să instituie sisteme
pentru ștergerea automată a PD; să asigure că PD excesivă nu a fost colectată inițial; să
asigure structura PD într-un format utilizat în mod obișnuit, care poate fi citit automat și
interoperabil
o Documentarea și cooperarea cu autoritățile de reglementare
 GDPR: cerințele de notificare și înregistrare au fost eliminate!
 În schimb, Cs trebuie să păstreze în scris înregistrări detaliate ale operațiunilor
de prelucrare pentru a fi puse la dispoziția APD la cerere
 Înregistrări DP care trebuie păstrate (similare cu cerințele de notificare)
 Numele Cs și datele de contact, DPO, scopurile prelucrării, pisicile DS și PD,
pisicile destinatarilor, transferurile anticipate, garanțiile adecvate, perioadele de
păstrare, măsurile de securitate
 Ds trebuie să mențină datele de contact, DPO, numele și contactul fiecărui
proces C P pentru, detaliile de procesare a transferurilor și garanțiile, măsurile
de securitate
 Scutire pentru companiile cu mai puțin de 250 de angajați
 Exceptarea nu se aplică în cazul în care prelucrarea este susceptibilă să genereze
riscuri pentru drepturile și libertățile DS, este frecventă și nu ocazională sau
implică date speciale; De asemenea, nu se aplică datelor referitoare la
condamnări penale și infracțiuni
o Evaluarea impactului asupra protecției datelor (EIPD)
 Companiile utilizează EIPD pentru a identifica și aborda problemele DP care pot apărea
atunci când dezvoltă noi produse sau servicii sau întreprind noi activități de prelucrare
 Obligatoriu conform GDPR atunci când activitatea de prelucrare ar putea prezenta un
risc ridicat pentru drepturile și libertățile DS; de asemenea, înainte de a continua
activitățile riscante de prelucrare a PD
 Atunci când riscurile sunt identificate, luați măsurile adecvate pentru a preveni sau cel
puțin minimiza riscurile
 ICO consideră DPIA un instrument de bune practici
 Cum se determină dacă DPIA este necesară și cum se efectuează
 Este procesarea "risc ridicat"?
o Profilarea sistemică și extinsă care produce efecte juridice sau afectează
în mod semnificativ persoanele fizice; pisici speciale de PD pe scară
largă; monitorizarea sistematică pe scară largă a unei zone accesibile
publicului (de exemplu, CCTV și drone)
 Ce se întâmplă dacă prelucrarea prezintă un risc ridicat și este necesară o EIPD?
o În primul rând, solicitați sfatul DPO
o EIPD trebuie să includă cel puțin următoarele: descrierea sistematică a
activităților de prelucrare avute în vedere, scopurile, interesul legitim;

36
 evaluarea necesității și proporționalității în raport cu scopurile;
evaluarea riscurilor pentru drepturile și libertățile persoanelor; măsuri
de abordare a riscurilor, inclusiv garanții și măsuri și mecanisme de
securitate
 Ce se întâmplă dacă procesarea este încă cu risc ridicat?
o Nu există o măsură suficientă pentru a atenua riscul, C trebuie să se
consulte cu APD înainte de prelucrare (permite APD până la 8 săptămâni
să ia în considerare sesizarea)
o Responsabilul cu protecția datelor
 Recunoscut oficial, dar nu este necesar
 Necesar atunci când: prelucrarea efectuată de autoritatea publică, activitățile principale
sunt monitorizarea regulată și sistematică a persoanelor fizice pe scară largă SAU
prelucrarea categoriilor speciale de date cu caracter personal pe scară largă
 Activități de bază: operațiuni cheie necesare pentru atingerea obiectivelor lui C
sau P, DP este o parte inextricabilă a activităților lui C sau P
 Factori de mare amploare: numărul de SP în cauză, volumul de date, gama de
elemente de date, durata sau persistența, întinderea geografică
 Monitorizare periodică și sistematică: toate formele de urmărire și profilare pe
internet
o Regulat: în curs sau la anumite intervale pentru o anumită perioadă,
recurente sau repetate, în mod constant sau periodic
o Sistematic: conform unui sistem, pre-aranjat, organizat sau metodic,
parte a planului general de colectare a datelor, realizat ca parte a
strategiei
 DPO trebuie să fie numit dacă acest lucru este cerut de legislația statelor membre
(Germania = cel puțin 9 angajați în prelucrarea automată a PD sau cel puțin 20 de
persoane în prelucrarea neautomată)
 Franța: nicio cerință, dar avantaje potențiale pentru companiile cu DPO
 Numiri la nivel de grup permise: DPO trebuie să fie ușor accesibil fiecărei întreprinderi
 Rolul RPD: implicat în mod corespunzător și în timp util cu privire la toate aspectele
legate de protecția PD; funcționează independent (poate avea alte roluri care nu dau
naștere unui conflict de interese); Fără limită de mandat
 Trebuie să aibă o linie directă de raportare către cel mai înalt nivel de conducere al
companiei și acces la operațiunile de prelucrare a datelor companiei
 Cunoștințe tehnice și expertiză suficiente necesare, numiți pe baza experienței și
abilităților în domeniul confidențialității
 Trebuie să poată: să informeze și să consilieze compania cu privire la obligațiile cu GDPR,
să monitorizeze conformitatea cu GDPR și politicile companiei, să ofere consultanță cu
privire la EIPD, să coopereze cu APD și să acționeze ca punct de contact pentru APD
 Poate fi un angajat al companiei sau un procesator de servicii terț
o Alte măsuri: BCR-> asigură același nivel ridicat de protecție a PD respectat de toți membrii unui
grup cu un set unic de reguli obligatorii și executorii
 Standardul de aur, deoarece pentru a le atinge, companiile trebuie să demonstreze
cadrul de conformitate cu confidențialitatea la cererea la DPA; DPA monitorizează, de
asemenea, conformitatea continuă
 Transferuri internaționale de date (țări și organizații internaționale)
o Transferurile nu includ tranzitul, trebuie să includă procesarea în afara SEE

37
  Rutarea tehnică, cum ar fi e-mailul și paginile web, poate implica circulația aleatorie a
datelor în întreaga lume în tranzit
 Accesul electronic la datele cu caracter personal al călătorilor care se află fizic într-un alt
loc pentru o perioadă scurtă de timp nu contează
o Transferuri numai în 1 din 3 condiții
 (1) Nivelul adecvat de protecție oferit de țară (recunoscut de Comisia Europeană, cu
revizuiri periodice ale adecvării la fiecare 4 ani)
 Țara respectă statul de drept, protejează drepturile omului, are legislație care
protejează prelucrarea datelor (inclusiv legislația privind transferurile) și are căi
de atac administrative și judiciare eficiente pentru persoanele vizate ale căror
date sunt transferate
 autorități de supraveghere independente, inclusiv competențe adecvate de
asigurare a respectării legislației, ȘI
 Sunt luate în considerare angajamentele internaționale pe care și le-a asumat
țara terță sau IO în ceea ce privește protecția datelor cu caracter personal
 **11 țări și teritorii recunoscute în prezent
 (2) C sau P oferă garanții adecvate cu drepturi opozabile ale persoanelor vizate și căi de
atac eficiente SAU
 (3) Transferul se încadrează într-una dintre derogările pentru situații specifice
o Dreptul Uniunii aplicat extrateritorial
 Companiile multinaționale mari trebuie să aplice legislația UE în toate activitățile lor de
prelucrare la nivel mondial
o Statele Unite
 Sfera de siguranță
 A prevăzut o decizie privind caracterul adecvat pentru ca organizațiile să
semneze și să se autocertifice pentru transferurile UE-SUA
o Părțile nu efectuau verificările anuale de conformitate necesare, iar FC
nu aplica
 Dezvăluirile lui Snowden au arătat că Safe Harbor este ineficient
o Nu a dorit să suspende din cauza importanței transferului de date între
SUA și UE pentru comerțul internațional, precum și pentru aplicarea
legii și securitatea națională: a început să caute alte mecanisme
("Reconstruirea încrederii în fluxul de date UE-SUA")
o Schrems I: CEJ a invalidat sfera de siguranță
 Scutul de confidențialitate
 4 priorități generale ale Comisiei: (1) transparența, (2) căile de atac, (3)
asigurarea respectării legislației, (4) accesul autorităților americane la date
o Punct sensibil pentru SUA: excepția de securitate națională urma să fie
aplicată numai atunci când era strict necesar și proporțional în
conformitate cu CE
 7 principii: (1) notificare, (2) alegere, (3) responsabilitate, (4) securitate, (5)
integritatea datelor și limitarea scopului, (6) acces și (7) recurs, executare și
răspundere
 Documentație mai detaliată decât sfera de siguranță, standarde mai ridicate
puse în aplicare
o Scrisori de asigurare care restricționează accesul agențiilor
guvernamentale americane, verificări și solduri

38
  Avizul WP29 se referă: nu a inclus principiile cheie ale DP din legislația UE, nu a
existat nicio protecție pentru transferurile ulterioare de date, mecanismul de
recurs pentru persoane este prea complex, documentația nu a exclus colectarea
masivă/nediscriminatorie a datelor de către agențiile de informații americane,
noul ombudsman nu este suficient de independent sau puternic
 Întreprinderile din SUA supuse FTC sau DOT se pot alătura prin depunerea
înregistrării online la DOC (nu acoperă băncile sau companiile de
telecomunicații!!)
o Companiile PS iau anumite măsuri pentru a demonstra conformitatea,
inclusiv (1) evaluări interne ale conformității, (2) înregistrarea la
furnizorul de arbitraj 3 rd party, și (3) adoptă notificarea Scutuluide
confidențialitate și publică online
o Asigurarea unor garanții adecvate
 Clauze model
 C-C sau C-P
 Aprobat în prealabil de Comisie, depus la DPA
o APD pot, de asemenea, să adopte propriile CCS sau să aprobe
contractele ad-hoc care le sunt prezentate de părți pentru transferuri
(oferă o mai mare flexibilitate, permite adoptarea unor obligații
contractuale mai realiste pe care este mai puțin probabil să le încalce)
 Coduri de conduită și certificare: idee nouă cu GDPR
 Reguli corporatiste obligatorii: acum în mod expres în GDPR
 Standarde mai ridicate, legitimează toate transferurile în cadrul corporației ca
fiind adecvate
o Trebuie să fie prezentate și aprobate de APD
o Rentabil pentru companiile multinaționale mari
 Organizațiile multinaționale elaborează și urmează în mod voluntar, iar
autoritățile naționale de reglementare aprobă în conformitate cu propriile
legislații
 APD trebuie să aprobe urmând mecanismul pentru asigurarea coerenței
 Setul complet de BCR trebuie să includă următoarele
o Structura și datele de contact ale grupului corporativ și ale membrilor
o Transferuri de date (categorii, tip de prelucrare, scopuri, tip de persoane
vizate afectate, țări terțe de identificare
o Caracterul obligatoriu din punct de vedere juridic
o Aplicarea principiilor generale ale DP (articolul 5)
o Drepturile persoanelor vizate și mijloacele de exercitare a acestor
drepturi
o Acceptarea de către C sau P stabilit pe teritoriul unui stat membru a
răspunderii pentru orice încălcare a BCR de către orice membru în cauză
care nu este stabilit în UE
o Modul în care informațiile despre BCR furnizate persoanelor vizate
o Sarcinile DPO
o Proceduri de depunere a plângerilor
o Mecanismul de verificare a conformității cu BCR
o Mecanisme de raportare și înregistrare a modificărilor aduse normelor
o Mecanismul de cooperare cu APD

39
 o Mecanisme de raportare către APD a oricăror cerințe legale la care este
supus un membru al grupului corporativîntr-o țară a 3-a care pot avea un efect
negativ substanțial asupra garanțiilor prevăzute în BCR
o Formarea corespunzătoare a personalului care intră în contact cu datele
 Derogări
 Consimțământ: explicit, specific și informat (inclusiv informat cu privire la
posibilele riscuri)
 Executarea contractului
o Transferul poate fi efectuat dacă este necesar pentru executarea
contractului (de exemplu, contractul de cumpărare)
o Contract încheiat la cererea persoanei fizice sau în interesul acesteia
o Poate aplica pentru contracte de muncă, dar evaluează dacă transferul
este necesar pe baza bunurilor și serviciilor furnizate, nu pe alegerea
exportatorului de organizație
 Interes public: prevenirea criminalității, securitate națională, colectarea
impozitelor
 Revendicări legale
 Interese vitale: situație de viață sau de moarte (de obicei dosare medicale)
 Registrele publice: dacă sunt disponibile informații, extrasele pot fi transferate
 Transferuri nerepetitive: număr limitat de persoane vizate, necesar în scopul
imperirii intereselor legitime ale C, dacă nu prevalează interesele sau drepturile
și libertățile persoanei vizate
o +C trebuie, de asemenea, să ofere garanții adecvate pentru a proteja PD
o C trebuie să informeze autoritatea de supraveghere și persoana vizată
cu privire la transfer și la interesele legitime imperioase
 Supravegherea și punerea în aplicare
o Legat de responsabilitate
o Autoreglementare
 Respectarea principiilor DP, numirea DPO și acordarea unei atenții sporite codurilor de
conduită și certificării = metode de autoreglementare
 C au funcții de reglementare asupra P-urilor lor, P asupra sub-P-urilor, creează
supraveghere și aplicare
 Obligația de diligență precontractuală, formarea contractelor, cerințe
postcontractuale
 Cs se așteaptă să identifice riscurile și apoi să le trimită pentru a le aborda
 Dovada demonstrabilă a conformității prin testare și activități similare include testarea
ca parte a activităților comerciale
 Notificarea încălcărilor PD către APD și, uneori, către persoane fizice: descurajarea este
esențială pentru asigurarea respectării legii
 Sancțiuni administrative eficace, proporționale și disuasive
 EIPD atunci când prelucrarea poate duce la un risc ridicat pentru RTS și libertățile
persoanelor fizice
 DPO: poziție clară de supraveghere și aplicare, imună la concediere, mai mult ca cvasi-
DPA decât ca datorie > angajaților de cooperare cu DPA și extinderea autorității de
reglementare

40
  Coduri de conduită, certificate și sigilii: asociații din industrie pot crea coduri și
certificări, C și P trebuie să se angajeze să le aplice și ar trebui să fie monitorizați pentru
conformitate
 Organismele reprezentative pot transmite proiectele de coduri către APD spre
aprobare
 Mecanismul pentru asigurarea coerenței atunci când proiectul de cod va afecta
cel puțin 2 state membre
 Organismele de monitorizare trebuie să dea dovadă de independență, expertiză
și să evite conflictele; să dispună de proceduri pentru eliberarea, revizuirea și
revocarea sigiliilor și mărcilor, dacă este cazul, precum și de proceduri pentru
tratarea conformităților
 Cs și P pot fi amendați de DPA pentru încălcarea cerințelor de cod în cazuri grave
 APD pot revoca acreditarea organismului de monitorizare
o Reglementarea de către cetățean
 Cetățenii au condus mustul la schimbarea non-legislativă a legilor PD (vezi: Google v.
Spania și dreptul de a fi uitat)
 Organizațiile societății civile (OSC) au, de asemenea, putere în litigii
 Riscul primar de control negativ din partea cetățenilor în calitate de părți litigante, mai
degrabă decât de APD
 Drepturile persoanelor vizate
 Dreptul la transparență, acces la date, rectificare, ștergere, restricționarea
prelucrării, portabilitatea datelor, opoziție, informarea cu privire la încălcări
grave ale securității datelor
 **Nu există nicio cerință ca DS să urmărească drepturile împotriva lui C înainte
de a depune plângeri și căi de atac în fața APD sau a instanțelor! În multe cazuri,
drepturile nu oferă o cale directă și evidentă către operator (a se vedea:
principiile DP, cum ar fi confidențialitatea)
 Măsuri reparatorii în caz de încălcare a obligațiilor
 Să depună plângeri la APD sau la instanțe, să urmărească aceste căi de atac și, în
același timp, cu C
 Apelarea la APD pentru măsuri reparatorii este opțiunea cu risc scăzut
 Persoanele fizice pot introduce întotdeauna căi de atac la instanța de origine
sau la APD, indiferent de locul de stabilire C sau P
 Acțiuni colective/reprezentative
 Dreptul de acțiune colectivă GDPR în temeiul articolului 80
 Persoanele fizice pot alege să fie repp'ed de organizații non-profit (CSO), avocați
de confidențialitate sau grupuri de presiune: pot acționa în numele unuia sau
mai multor
o Statele membre pot acorda organizațiilor puteri independente de
mandatele persoanelor
 Răspundere și cereri de despăgubire
 DS poate solicita despăgubiri în cazul în care suferă un prejudiciu b/c de
neconformitate
 Cs și D pot pretinde că nu sunt responsabili pentru evenimentul care a dat
naștere unui prejudiciu ca apărare
o În cazul în care mai multe părți sunt vinovate, orice persoană C sau P
care este responsabilă pentru orice daune poate fi trasă la răspundere

41
 pentru toate daunele> atunci partea care despăgubește poate solicita
despăgubiri de la alți C și P
 Ce înseamnă daune? Pierderi financiare, poate suferință sau prejudiciu moral
o "Prejudiciu moral" înseamnă în mod clar suferință
 Reglementarea autorităților de reglementare
 Dacă persoana depune plângere la DPA, dar nu este tratată, sau dacă nu audiază
nimic timp de 3 luni, poate lua măsuri împotriva DPA în fața instanțelor pentru a
forța problema
o Așa s-a întâmplat cu Schrems I împotriva DPA irlandeză
 Scopul principal este de a permite contestarea acțiunilor corective împotriva
APD
o Persoanele fizice pot utiliza, de asemenea, împotriva APD pe care le
consideră că nu au reușit să ia tipul corect de acțiuni corective sau au
fost prea indulgente în sancționarea
o Supravegherea administrativă și asigurarea respectării normelor
 APD sunt singurele organisme echipate cu competențe administrative de supraveghere
și de asigurare a respectării normelor (CNIL, ICO, AEPD): toate țările UE au deja APD
 Statele membre trebuie să desemneze autorități publice independente care să
monitorizeze implementarea GDPR, să acționeze în deplină independență, cu
competențe și resurse suficiente
 Cerința de consultare, să ofere autorităților de reglementare influență asupra agendelor
legislative, să însărcineze și să împuternicească APD să ofere consiliere și îndrumare
parlamentelor și guvernelor lor cu privire la DP
 Sarcinile APD
 Promovarea conștientizării și înțelegerii DP
 Tratarea plângerilor și efectuarea investigațiilor
 Sprijinirea aplicării consecvente a GDPR la nivel internațional, aplicând
mecanismul de asigurare a coerenței
 Monitorizarea dezvoltării practicilor tehnologice și comerciale de informare și
comunicare
 primirea și tratarea plângerilor: cetățenii au cele mai multe contacte zilnice cu
Cs, deci sunt cei mai în măsură să afecteze efectiv conformitatea; cetățenii au
nevoie de campion oficial, adică DPA
 EIPD: APD publică liste cu situațiile în care EIPD ar trebui efectuate și în care nu
ar trebui să fie necesare; Cs trebuie, de asemenea, să se consulte cu DAP atunci
când EIPD indică faptul că activitatea ar duce la un risc ridicat pentru drepturile
și libertățile persoanelor
 Coduri, certificate, sigilii și mărci: încurajarea dezvoltării, furnizarea de avize cu
privire la proiectele de coduri, modificări sau extinderi (dacă respectă GDPR),
aprobarea proiectului de cod etc. dacă oferă garanții suficiente, retragerea
certificatelor în cazul în care cerințele nu mai sunt îndeplinite
 Aprobarea SCC și BCR: poate, de asemenea, să-și creeze propriile SCC-uri și să
aprobe contracte unice pentru transferuri
 Evidența încălcărilor și a acțiunilor întreprinse: GDPR impune păstrarea acestei
evidențe, practică deja standard în multe state membre
 APD nu pot percepe taxe DS sau DPO pentru serviciile lor, dar pot percepe
costuri administrative pentru cereri vădit nefondate sau excesive

42
  Rapoarte de activitate: reglementarea trebuie să se desfășoare în mod
transparent pentru a promova încrederea în sistemul de reglementare și pentru
a oferi societății o perspectivă critică asupra tendințelor și evoluțiilor din cadrul
reglementării
 Competențele autorității de reglementare
 Competențe de investigare: acces la toate probele, materialele și facilitățile
necesare pentru a permite îndeplinirea sarcinilor, împreună cu mecanismul de
începere a investigațiilor, notificarea CS și P cu privire la presupusele încălcări
o APD vor putea obține acces la orice documente relevante deținute de
organizația investigată, inclusiv 3 documenteale partidului, rapoarte și
rapoarte de audit (cu excepția cazului în care sunt privilegiate)
o APD pot efectua revizuiri operaționale
 Competențe corective: Permiteți APD să avertizeze Cs și P cu privire la activități
de prelucrare dubioase, să aplice sancțiuni financiare și să ordone Cs și P să
oprească prelucrarea datelor
 Competențe de autorizare și consultare: coduri, certificări, sigilii și mărci
 Litigiile autorităților de reglementare: APD trebuie să poată forța conformitatea prin
intermediul instanțelor
 Protejarea CS și P împotriva măsurilor de reglementare precipitate: persoanele fizice și
juridice afectate de deciziile APD pot iniția proceduri judiciare pentru a-și proteja
pozițiile
 Obligația de păstrare a secretului de către autoritățile pentru protecția datelor și
personalul acestora cu privire la informațiile confidențiale pe care le accesează
o Competență și cooperare internațională
 Cine are autoritatea de a impune supravegherea reglementară și punerea în aplicare?
 Competență
 APD pot acționa pe teritoriul propriului stat membru
 APD pot reglementa C și P stabilite pe teritoriul lor
 În cazul în care C sau P sunt stabiliți pe mai multe teritorii sau în cazul unei
prelucrări transfrontaliere, autoritatea principală are competență
o Se aplică "sediul principal" din C sau P: în cazul în care procesul
decizional pentru prelucrarea informațiilor cu caracter personal se face,
de obicei la administrația centrală (dar dacă se ia decizia într-o altă
locație, sediul principal se află acolo)
o Cerința autorității principale de a reglementa situațiile de prelucrare
transfrontalieră
 Entitățile stabilite într-un singur stat membru se pot angaja în
continuare în prelucrarea transfrontalieră
 Autoritatea principală este singurul interlocutor al acestei
prelucrări transfrontaliere
o Autoritățile care nu sunt responsabile cu rolul principal pot lua măsuri în
situații transfrontaliere în care plângerea (1) se referă numai la teritoriul
lor sau (2) în cazul în care aceasta afectează în mod substanțial persoane
fizice numai pe teritoriul lor
 DPA care afirmă competența trebuie să notifice autoritatea
principală (poate declanșa o bătălie de competență)

43
  În cazul în care autoritatea principală respinge
afirmarea competenței altor APD și preia ea însăși
chestiunea, trebuie urmată procedura prevăzută la
articolul 60
 În cazul în care autoritatea principală acceptă afirmarea
competenței altei APD, APD 2ndary poate proceda sub
rezerva normelor privind asistența reciprocă și
operațiunile comune
o Litigii și contestații cu privire la competențe, cel mai probabil în urma
unei plângeri din partea unei persoane: pot depune o plângere la APD
din statul membru în care își au reședința obișnuită, locul de muncă sau
locul în care a avut loc presupusa încălcare
 Cooperare
 Norma privind autoritatea principală se aplică numai prelucrării transfrontaliere:
dacă intervine, se aplică procedurile de cooperare prevăzute la articolul 60
o De obicei, începe cu solicitarea de asistență reciprocă și operațiuni
comune, dar poate începe, de asemenea, prin afirmarea competenței
DPA non-lider
 APD principală transmite proiectul de decizie altor APD interesate
o Ar putea declanșa comentarii, o obiecție motivată sau un simplu acord
o În cazul unei obiecții motivate, autoritatea principală poate accepta sau
respinge obiecția
 Dacă este acceptat, emite un proiect revizuit de decizie, pe care
alte APD îl pot accepta sau formula obiecții motivate
suplimentare
 În cazul unor obiecții motivate suplimentare, ciclul
continuă până la izbucnirea impasului (se poate face cu
sesizarea CEPD)
 Dacă este respinsă, autoritatea principală trebuie să respecte
mecanismul pentru asigurarea coerenței
o În cazul în care nu există obiecții, autoritatea principală și alte autorități
pentru protecția datelor, în acord și în proiectul de decizie, sunt
obligatorii
 Dacă proiectul de decizie este acceptat, autoritatea principală îl
adoptă și notifică C sau P la sediul principal, celelalte APD vizate
și CEPD
 În cazul declanșării unei plângeri din partea unei autorități
pentru protecția datelor individuală către cea care nu conduce
autoritatea pentru protecția datelor, APD relevantă ar trebui să
notifice reclamantul cu privire la rezultat
 Sarcina este transferată către C sau P pentru a asigura
conformitatea, inclusiv raportarea către autoritatea principală
cu privire la modul în care se realizează acest lucru
o **Articolul 60 prevede calendarul acestor evenimente-cheie
 Asistența reciprocă: mandatează cooperarea și schimbul de informații
o APD trebuie să pună în aplicare măsuri adecvate pentru a oferi asistență
fără întârzieri nejustificate (o oprire de o lună)

44
 o APD trebuie să se conformeze solicitărilor, cu excepția cazului în care
acestea nu au competența de a oferi asistență sau trebuie să evite
ilegalitatea
o În cazul în care APD destinatară nu oferă asistență în termen de o lună,
APD solicitantă poate adopta o măsură provizorie care declanșează
procedura de urgență
 Operațiuni comune: concepute pentru a se asigura că toate autoritățile pentru
protecția datelor în cauză sunt reprezentate în mod corespunzător în activitatea
de supraveghere și de asigurare a respectării legii
o Atunci când autoritățile pentru protecția datelor sunt stabilite în mai
multe teritorii sau prelucrarea afectează un număr semnificativ de
persoane din mai multe teritorii, toate autoritățile pentru protecția
datelor în cauză au dreptul de a participa la operarea în comun
o Autoritatea competentă are obligația de a invita alte APD să participe
 Mecanismul pentru asigurarea coerenței
 CEPD: succesorul Grupului de lucru "Articolul 29"
 Avizele CEPD
o CEPD trebuie să emită avize cu privire la listele de circumstanțe în care
sunt necesare EIPD, la adoptarea codurilor propuse care afectează mai
multe state membre, la criteriile de acreditare a organismelor de
monitorizare și certificare, la CCS aprobate de APD și la autorizațiile BCR
 Avize emise după ce APD își desfășoară activitatea inițială
 Orice APD, orice președinte CEPD sau CE poate solicita avize cu
privire la chestiuni de aplicare generală sau care produc efecte
asupra mai multor state membre
 Soluționarea litigiilor de către CEPD
o Parte esențială a mecanismului pentru asigurarea coerenței, declanșată
ori de câte ori autoritatea principală respinge obiecțiile motivate la
proiectul de decizie privind prelucrarea transfrontalieră, ori de câte ori
există un litigiu între APD cu privire la cine este competent pentru un
sediu principal sau APD nu sesizează CEPD deciziile sale (de mai sus)
o Rezultat= adoptarea unei decizii obligatorii
 În ceea ce privește un proiect de litigiu, autoritatea principală
sau o altă autoritate pentru protecția datelor trebuie să adopte
decizia finală pe baza unei decizii obligatorii
 Procedura de urgență
o Circumstanțe excepționale în care APD ar trebui să ia măsuri urgente
pentru a proteja drepturile și libertățile persoanelor
 În cazul în care urgența este suficient de mare, este posibil să nu
fie suficient timp pentru a continua cooperarea sau mecanismul
de asigurare a coerenței
 APD poate adopta imediat măsuri provizorii, sub rezerva unei
durate de viață de trei luni, și trebuie să fie înaintată de APD
motivată altor APD care au o preocupare în această privință,
CEPD și Comisiei
 La sfârșitul perioadei de 3 luni, măsurile provizorii
expiră, cu excepția cazului în care APD consideră că

45
 măsura finală trebuie adoptată de urgență, caz în care
poate solicita avizul de urgență sau o decizie obligatorie
urgentă din partea CEPD
o Sancțiuni și sancțiuni
 Amenzi administrative în funcție de natura contravenției și statutul entității amendate
(non-întreprinderi: autorități publice, organizații care nu desfășoară activități econ;
versus întreprinderi: companii)
 Nivelul 1
o Contravenții: consimțământul copiilor, protecția datelor începând cu
momentul conceperii și implicit, angajarea P-urilor de către Cs,
înregistrările procesării, cooperarea cu autoritățile de reglementare,
securitatea, notificarea încălcărilor, DPIA-urile, DOP-urile, codurile și
certificările
o Până la 10 milioane € sau 2% din cifra de afaceri anuală totală la nivel
mondial din anul precedent
 Nivelul 2
o Contravenții: principiile de protecție a datelor, legalitatea prelucrării,
consimțământul, prelucrarea categoriilor speciale de date, drepturile
DS, transferurile internaționale, nerespectarea competențelor de
investigare și corective ale APD
o Până la 20 milioane € sau 4% din cifra de afaceri anuală totală la nivel
mondial din anul precedent
 Factori care trebuie luați în considerare înainte de a impune amenzi
 Eficace, proporționale și disuasive
 Încălcările grave ale GDPR pot fi întâmpinate cu răspunsuri multiple
 Cuantumul total al amenzii nu poate depăși cuantumul specificat pentru cea mai
gravă încălcare
 Articolul 83 alineatul (2) factori:
o Natura, gravitatea și durata încălcării, natura, domeniul de aplicare sau
scopul prelucrării în cauză, numărul de SP afectate, nivelul daunelor
o Cu privire la caracterul intenționat sau din neglijență al încălcării
o Acțiuni întreprinse pentru a atenua daunele cauzate de DS
o Gradul de responsabilitate, luând în considerare măsurile tehnice și
organizatorice
o Încălcări anterioare
o Gradul de cooperare cu DPA
o Categorii de PD afectate
o Cu privire la notificarea APD cu privire la încălcare
o Cu privire la respectarea măsurilor dispuse anterior împotriva C și P
o Aderarea la codurile de conduită aprobate
o Orice alte circumstanțe agravante sau atenuante
 Întreprindere: o entitate care desfășoară o activitate comercială (societăți)
 Autoritățile publice și entitățile asociate fără personalitate juridică sunt
întreprinderi
 Statele membre pot scoate complet autoritățile publice din regimurile de
aplicare a amenzilor
 Întreprinderea este o entitate unică, nu discută grupuri de întreprinderi

46
 o Compania care face parte din grupul de companii poate fi amendată
doar până la procentul din cifra de afaceri individuală a companiei, nu și
cifra de afaceri a grupului
o Directiva privind protecția datelor în materie de asigurare a respectării legii: supravegherea în
oglindă și regimul de asigurare a respectării legii, cu excepția absenței conceptului de autoritate
principală (și a mecanismelor conexe de cooperare și asigurare a coerenței) și a sancțiunilor
financiare

Secțiunea III: Respectarea legislației și regulamentului european privind protecția datelor

 Raporturi de muncă
o Zonă dificilă din cauza intersecției dintre confidențialitatea datelor și dreptul muncii
 Consultarea legislației jurisdicționale privind ocuparea forței de muncă și a comitetelor
de întreprindere
 Normele statelor membre pentru PD angajaților includ măsuri de protejare a demnității
umane a SP, a intereselor legitime și a drepturilor fundamentale în ceea ce privește
transparența prelucrării și transferului, precum și monitorizarea și controlul
 Angajații trebuie să aibă drept de acces la datele lor personale
o Temeiurile juridice pentru prelucrarea datelor cu caracter personal ale angajaților
 Consimțământ
 Trebuie să fie dat în mod liber, greu de spus în circumstanțe de angajare,
deoarece puterea inegală
o Nu este o bază bună pe care angajatorii să se bazeze
 Uneori, legislația locală prevede că consimțământul nu poate fi
dat în această circumstanță
 Consimțământul nu ar trebui să fie invocat, cu excepția cazului
în care retragerea consimțământului nu ar fi problematică
pentru legalitatea prelucrării sau în detrimentul locului de
muncă al angajatului
 Oferit în mod liber, specific, informat și lipsit de ambiguitate
 Posibilitatea de a-și retrage consimțământul fără a suferi niciun prejudiciu
 Unele țări din UE solicită consimțământul în scris
 Îndeplinirea contractului de muncă
 De exemplu, pentru a plăti angajatul (numele și detaliile bancare)
 Necesare pentru respectarea obligației legale (UE) (de exemplu, taxe)
 Interesele legitime ale angajatorului
 De exemplu, atunci când angajatorul schimbă sistemele structurale pentru a
migra datele angajaților de la vechiul sistem de salarizare la unul nou, aceasta
este procesarea pe un interes legitim
 Autoritățile publice nu se pot prevala deloc de acest motiv
o Date sensibile ale angajaților
 Dacă prelucrează aceste date, angajatorul ar trebui să se încadreze într-o excepție de la
articolul 9
 Include consimțământul, dar ar trebui să fie ultima soluție a angajatorului
 În unele jurisdicții, măsura în care datele sensibile ale angajaților pot fi prelucrate
depinde de legislația însoțitoare privind ocuparea forței de muncă sau munca
 De exemplu, în Portugalia, trebuie să obțină autorizația de la DPA

47
  Poate fi necesar pentru stabilirea, exercitarea sau apărarea revendicărilor legale (de
exemplu, cererea de concediere ilegală, discriminare)
o Furnizarea unei notificări pentru prelucrare
 Angajatorii trebuie să furnizeze o notificare privind prelucrarea datelor, scopurile, pe
cine să contacteze și care sunt drepturile DS
 Se poate face cu manualul angajatului sau cu un document de notificare specific
 Angajații trebuie să fie anunțați ori de câte ori apare un nou scop
 Notificarea trebuie să furnizeze, în detaliu, temeiul juridic, care sunt interesele legitime
(dacă sunt utilizate), destinatarii datelor, unde vor fi transferate datele și cât timp vor fi
păstrate
o Stocarea înregistrărilor de personal
 Nu ar trebui să fie păstrate mai mult decât este necesar, deși pe tot parcursul angajării
este normal, probabil protejat dintr-un motiv legitim
 Post-angajare, poate avea nevoie de înregistrări pentru respectarea dreptului
societăților comerciale, a dreptului muncii, a legislației privind sănătatea și siguranța, a
legislației fiscale și a legislației privind securitatea socială etc
 Ar trebui să fie arhivate în siguranță
o Monitorizarea locului de muncă și prevenirea pierderilor de date
 Drepturile angajaților sunt puse în balanță cu drepturile legitime ale companiei de a-și
desfășura activitatea
 Verificarea antecedentelor
 Trebuie să se desfășoare pentru a evita angajarea persoanelor fără scrupule
 Angajații trebuie să se asigure că nu întocmesc liste negre în timpul verificărilor
de fond (în general ilegale) sau că nu întocmesc liste de persoane pe care nu le
vor angaja
 Prevenirea pierderii datelor
 Instrumentele DLP utilizează terțe părți pentru a opera, implică prelucrarea
datelor angajaților, dar scopul principal este prevenirea pierderii datelor
 Monitorizarea angajaților
 Trebuie să respecte legile locale privind ocuparea forței de muncă, precum și
legile privind protecția datelor
 Asigurarea respectării următoarelor principii: necesitate, legitimitate (motive
legale), proporționalitate și transparență
 Asigurați-vă că datele sunt păstrate în siguranță și accesate numai de cei care au
motive legitime să le vizualizeze
 Necesitate
 Luați în considerare mai întâi alte măsuri mai puțin intruzive pentru scopul său
 Trebuie să efectueze EIPD atunci când monitorizarea poate duce la un risc ridicat
pentru drepturile și libertățile persoanelor
o EIPD este necesară în cazul în care monitorizarea este o evaluare
sistemică și extinsă a aspectelor personale ale persoanelor fizice pe baza
prelucrării automate și pe care se bazează deciziile care produc efecte
juridice sau afectează în mod similar într-o măsură semnificativă
persoanele
 Legitimitate
 Trebuie să aibă o bază legală pentru monitorizare

48
  Testul de echilibrare a interesului legitim: interesul legitim al angajatorului
versus încălcarea drepturilor și libertăților individuale
 Utilitatea consimțământului pentru monitorizare este foarte limitată
 Monitorizarea care implică colectarea de date cu caracter personal sensibile ar
putea fi problematică
 UE are legi stricte cu privire la ceea ce este considerat monitorizarea legitimă a
angajaților, ia în considerare acordurile colective și consultă comitetele de
întreprindere
o Acordurile dintre comitetul de întreprindere și angajatori pot enumera
controalele permise
 Screening-ul e-mailurilor pentru a preveni virușii și monitorizarea timpului
online care nu funcționează sunt activități legitime ale angajatorului
o Nu se poate filtra conținutul a ceea ce fac angajații
o Găsiți alternative mai puțin intruzive: blocați anumite site-uri web,
prevenirea virușilor peste detectare
 Proporționalității
 Stabiliți dacă monitorizarea propusă este proporțională cu preocuparea
angajatorului
 Răspuns motivat și realist la o amenințare potențială sau cunoscută
o Minimizarea datelor: datele cu caracter personal trebuie să fie
adecvate, relevante și limitate la ceea ce este necesar în ceea ce
privește scopul prelucrării
o De fapt, deschiderea e-mailurilor este disproporționată
 În cazul în care contractele colective de muncă aprobă monitorizarea,
proporționalitatea este probabil afectată
 Transparență
 Angajatorii trebuie să furnizeze informații suficiente cu privire la activitatea de
monitorizare
 Stabilirea așteptărilor ajută la asigurarea faptului că monitorizarea este legală:
dacă angajații nu au fost informați despre monitorizare, se pot aștepta la un
nivel mai mare de confidențialitate
 Legea recunoaște că angajații se bucură de un anumit grad de confidențialitate
la locul de muncă
 Politica de utilizare acceptabilă pentru echipamentele de comunicații, inclusiv
cât de permisă este utilizarea privată a echipamentului angajatorului: angajații
au dreptul la o utilizare privată limitată a echipamentului angajatorului
 Comunicațiile private nu ar trebui deschise sau monitorizate
 Uneori este necesară monitorizarea sub acoperire: alteori nu este permisă sau
utilizarea limitată este permisă, iar poliția ar trebui să fie implicată
 Informații care trebuie furnizate de angajatori
 Politica de e-mail/internet a companiei
 Motivele și scopul supravegherii efectuate
 Detalii privind măsurile de supraveghere luate
 Proceduri de executare
 Dacă utilizarea conturilor de webmail este permisă la locul de muncă
 Măsuri în vigoare pentru accesarea conținutului e-mailurilor lucrătorilor
 Perioada de stocare pentru copiile de rezervă ale mesajelor

49
  Informații despre momentul în care e-mailurile au fost șterse de pe servere
 Implicarea reprezentanților lucrătorilor în formularea politicilor
 Condiții în care este permisă utilizarea privată a internetului
 Sisteme implementate pentru a preveni utilizarea abuzivă a internetului și
accesul la anumite site-uri
 Informații despre implicarea reprezentanților angajatorului în elaborarea și
implementarea politicilor
 Notificați angajații atunci când este detectată o utilizare abuzivă; ar putea fi
necesar, de asemenea, să notifice comitetele de întreprindere
 Drepturile angajatului acuzat: nu acuzați imediat, clicuri greșite comune
 Monitorizarea ilegală
 Greu de justificat monitorizarea care colectează PD sensibilă sau este deosebit
de intruzivă
 Monitorizarea sub acoperire ilegală fără permisiunea prealabilă a DPA sau o
excepție
 În general, e-mailurile marcate ca private nu trebuie citite
o Comitetele de întreprindere
 Obligația de a proteja drepturile lucrătorilor
 Specific țării: Marea Britanie are doar sindicate care nu au un cuvânt de spus cu privire
la modul în care angajatorii folosesc PD, în timp ce Germania și Franța au comitete de
întreprindere puternice
 De exemplu, WC-urile germane se pot opune utilizării dispozitivelor de
monitorizare a angajaților
 Angajatorii se angajează cu WC-urile prin (1) notificarea WC, (2) consultarea cu WC sau
(3) solicitarea aprobării WC
 În cazul în care WC respinge o decizie, singura opțiune a angajatorilor poate fi
contestarea în instanțele locale
 Uneori, este posibil ca DPA să nu aprobe procesarea decât dacă și până când WC a fost
implicat
o Scheme de avertizare
 SOX: Companii americane cu filiale în UE obligate să respecte SOX
 Compania trebuie să faciliteze capacitatea angajaților de a face acuzații cu
privire la nereguli (pot intra în conflict cu legile UE privind datele)
 Problema legii este de a face companiile mai responsabile și mai responsabile, în
special în ceea ce privește controalele interne
 Companiile îi încurajează pe cei care dețin informații despre fraude potențiale
sau reale să se prezinte și să furnizeze rapoarte confidențiale
o Poate folosi agenții independente 3rdparty pentru ca avertizorii să
contacteze
 Îngrijorare: subiectul unei plângeri nu poate fi confruntat cu persoana care face
afirmația, iar anonimatul ar putea duce la abuz de serviciu
 Probleme pentru conformitatea cu GDPR
 EIPD ar trebui să se desfășoare pentru sistemul de avertizare
 Legătura cu WC-urile înainte de implementarea metodei
 3rd contractele de procesare ale părților din afara UE trebuie să respecte legile
UE privind prelucrarea
 Mecanismele de transfer de date în afara SEE trebuie să respecte legile

50
  Poate fi necesar consimțământul angajaților
 Politica și procedura de avertizare ar trebui să fie transparente pentru angajați
 Politica privind avertizarea în interes public ar trebui să acopere elemente specifice:
 Persoanele care raportează (limitați cine poate raporta în funcție de cine are
cunoștințe directe)
 Persoanele incriminate (numai cele cunoscute de persoana care raportează)
 Confidențialitatea asupra anonimatului raportării (cunoașterea identității
raportorului va duce la o investigație mai precisă și mai amănunțită)
 Domeniul de aplicare al rapoartelor (limitarea sferei chestiunilor raportabile la
cele care afectează guvernanța entității)
 Păstrarea datelor: politică strictă după finalizarea investigației și ștergerea
oricăror rapoarte considerate nefondate
 Furnizarea de informații: îndepliniți cerințele GDPR privind transparența și
notificarea
 Drepturile persoanelor incriminate: Drepturile DP pot fi limitate dacă afectează
ancheta
 Transferuri în afara SEE: mecanism de stat utilizat pentru legitimarea
transferurilor
o Politica Bring Your Own Device
 Angajatorul rămâne responsabil în calitate de operator pentru orice date cu caracter
personal prelucrate pe dispozitivul angajatului în scopuri profesionale, utilizând setările
e-mailului de serviciu
 Companiile ar trebui să stabilească o politică pentru dispozitivele personale utilizate la
locul de muncă
 Luați în considerare modul de gestionare a datelor cu caracter personal deținute pe
dispozitiv după ce angajatul părăsește compania sau dispozitivul este pierdut sau furat
 Activități de supraveghere
o Necesitatea de a echilibra nevoia de supraveghere în interesul securității naționale și dreptul
individului la viață privată
 Internetul înseamnă din ce în ce mai multe informații despre cetățeni privați disponibile
pentru supraveghere
 Devin societățile societăți societăți de supraveghere?
o Tehnologie: tehnologie nouă pentru a ne face viața mai sigură, dar generează și mai multe date
 Acum, activitățile de supraveghere întreprinse zilnic, atât de sectorul public, cât și de cel
privat, pentru o serie de scopuri legale
 CCTV și GSP fac parte din supraveghere
o Dacă supravegherea are ca rezultat invadarea vieții private, verificați dacă invazia este necesară,
legală, echitabilă și proporțională
o Reglementarea supravegherii
 Agențiile publice și de stat sau entitățile private pot efectua supravegherea (securitatea
națională, aplicarea legii, scopuri private, cum ar fi dreptul muncii)
 Drepturile individuale pot fi restricționate dacă restricția respectă esența drepturilor și
libertăților fundamentale și reprezintă o măsură necesară și proporțională într-o
societate democratică
 Siguranța națională și publică, prevenirea și descoperirea infracțiunilor, precum
și protecția SP și a drepturilor și libertăților sunt motive pentru aplicarea
restricției

51
  Directiva LEDP se aplică activităților de aplicare a legii
 Deși prelucrarea datelor cu caracter personal trebuie să fie legală, echitabilă și
transparentă, acest lucru nu ar trebui să împiedice autoritățile de aplicare a legii
să desfășoare activități precum investigațiile sub acoperire sau supravegherea
video
 Activitățile pot fi desfășurate atât timp cât sunt prevăzute de lege și constituie o
măsură necesară și proporțională într-o societate democratică, ținând seama în
mod corespunzător de interesele legitime ale persoanei fizice în cauză
 Entitățile din sectorul privat pot avea obligația de a păstra și/sau partaja PD cu
agențiile de aplicare a legii
o Date de comunicații
 Supravegherea modernă are loc de obicei prin mijloace electronice, generând conținut
de comunicații și metadate
 Metadate= date despre date, informații generate și prelucrate ca urmare a
transmiterii unei comunicări
o Date privind traficul: tipul, formatul, ora, durata, originea, destinația,
rutarea, protocolul utilizat și rețelele de origine și terminare ale unei
comunicații
o Date de localizare: lat, lung, altitudinea echipamentului utilizatorului,
celula de rețea
o Date privind abonatul: nume, date de contact, informații de plată
 Metadatele pot oferi o imagine completă a comunicării și pot fi utilizate pentru
identificarea persoanei fizice (prin urmare, intră sub incidența GDPR)
 Dificultate în echilibrarea intereselor legale concurente: limitarea duratei GDPR versus
legea telecomunicațiilor care impune furnizorilor să păstreze datele apelurilor mai mult
decât este necesar pentru procesare
 În acest caz, CJUE a decis în 2014 că directiva este nevalidă pentru încălcarea
disproporționată a drepturilor la viață privată
o Supraveghere video (CCTV)
 Conține imagini ale persoanelor care pot fi utilizate pentru a identifica o persoană:
aceasta este considerată prelucrare!
 De fiecare dată când imaginea unui individ este capturată, aceasta este considerată date
biometrice
 Articolul 9 Categorii speciale de date trebuie să se aplice exceptarea
o C poate invoca legislația statelor membre pentru a efectua
supravegherea în interes public pentru o zonă publică sau în exercitarea
autorității publice
 Cs trebuie probabil să se bazeze pe testul de echilibrare a intereselor legitime pentru o
bază legală, puțin probabil să obțină consimțământul
 Utilizarea TVCI nu trebuie să prevaleze asupra drepturilor și libertăților
persoanelor
 EIPD este necesară în cazul în care: supravegherea este considerată cu risc ridicat,
implică monitorizarea sistematică pe scară largă a zonelor accesibile publicului sau în
cazul în care supravegherea video este inclusă pe listă de către APD relevantă
 EIPD va trebui să descrie: prelucrarea care urmează să fie efectuată, scopurile
prelucrării, interesele legitime urmărite, evaluarea motivului pentru care supravegherea

52
 este necesară și proporțională, evaluarea riscurilor pentru drepturile și libertățile SP
afectate și măsurile necesare pentru abordarea acestor riscuri
 Dacă EIPD indică faptul că riscurile ridicate nu pot fi atenuate suficient, C trebuie
să se consulte cu APD înainte de utilizarea supravegherii video
o Atunci când interesul public este temeiul legal, statele membre pot
impune obligativitatea consultării APD
 O soluție proporțională și adecvată, relevantă și nu excesivă pentru problemele pe care
le abordează, utilizarea CCTV ar trebui să se întâmple numai dacă alte soluții mai puțin
intruzive care nu necesită achiziția de imagini au fost luate în considerare și s-a constatat
că nu sunt inaplicabile sau inadecvate scopului
 Proporționalitatea se extinde și la alegerea sistemului și a tehnologiei (de
exemplu, recunoașterea facială și tehnologia zoom)
 Proporționalitatea înseamnă, de asemenea, a determina dacă aspectele legate
de CCTV utilizate și prelucrarea imaginilor sunt proporționale cu scopul pentru
care este utilizat sistemul CCTV
o Aranjamente operaționale și de monitorizare: aspecte operaționale
cheie (tipuri de camere, poziționarea camerelor), să vadă dacă
monitorizarea spațiilor specifice poate fi minimizată; utilizarea anumitor
caracteristici (zoom, înghețare)
o Păstrarea înregistrărilor CCTV: păstrați numai atâta timp cât este strict
necesar
o Necesitatea de a divulga terților, cum ar fi autoritățile de aplicare a legii
o Dacă înregistrările CCTV vor fi combinate cu alte informații pentru
identificarea persoanelor
o Supravegherea zonelor cu așteptări ridicate de intimitate (vestiare, băi):
permisă numai în cele mai excepționale circumstanțe, cu necesitatea de
a face față unor preocupări foarte serioase, de a face persoanele
conștiente că sunt supravegheate
 Alte măsuri: instruirea personalului, sancțiuni disciplinare și legale pentru utilizarea
abuzivă, politica CCTV (document scris care abordează probleme importante de
confidențialitate), revizuiri periodice pentru a asigura conformitatea și a reconsidera
dacă utilizarea CCTV rămâne justificată
 Drepturile DS și CCTV
 Cerințele de transparență se aplică în continuare, în special atunci când
camerele acoperă un spațiu public mare
o Informațiile ar trebui să fie vizibile și plasate la o distanță rezonabilă de
zona monitorizată
o Identificați scopul supravegherii și C cu datele de contact
 Sub rezerva art. 15 dreptul de acces al DS: CCTV păstrat pentru perioade scurte
de timp, astfel încât poate fi mai dificil să se utilizeze acest drept
o Dacă filmările conțin imagini ale altor persoane, ar trebui luate măsuri
pentru a le proteja confidențialitatea, cum ar fi estomparea imaginilor
o Date biometrice
 Date cu caracter personal rezultate din prelucrări tehnice specifice referitoare la
caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice, care
permit sau confirmă identificarea unică a respectivei persoane fizice

53
  De exemplu, ADN, amprente digitale, palme, modele venoase, miros, voce, față,
scris de mână, mers
 Poate fi în forma sa brută sau în forma șablonului biometric: modelul trebuie să includă
suficiente detalii pentru a permite identificarea unei persoane din populația de
persoane stocate în sistemul biometric
 Principalele utilizări ale sistemelor: identificare și autentificare
 Pentru a se încadra în categoria specială a articolului 9, scopul prelucrării datelor
biometrice trebuie să fie identificarea unică a unei persoane fizice
o Date despre locație
 Serviciile bazate pe locație, se bazează pe capacitatea tehnică de a localiza un dispozitiv
portabil
 Derivate din date generate de rețeaua de satelit (GPS), date mobile bazate pe celule (ID
celular), date generate de carduri cu cip (carduri de plată)
 3 mari categorii de date despre locație pe care Google le utilizează pentru a-și furniza
serviciile: informații implicite despre locație (folosind interogarea de căutare etc.);
Informații despre traficul pe Internet (adresa IP, permite aplicarea limbajului corect);
Servicii de localizare bazate pe dispozitiv (navigare pas cu pas)
 Datele de localizare sunt un identificator, deoarece pot identifica sau pot conduce la
identificarea unei persoane: date cu caracter personal considerate în conformitate cu
această definiție
 Chiar dacă utilizatorii dezactivează serviciile de localizare pe dispozitivul lor sau
pentru o aplicație, vulnerabilitățile dintr-o aplicație mobilă pot fi exploatate
pentru a accesa locația
 Dezvoltatorii de aplicații trebuie să decidă dacă aplicațiile care utilizează locația
prezintă riscuri ridicate pentru drepturile și libertățile persoanelor, caz în care
este necesară o EIPD
 Istoricul locațiilor poate fi folosit pentru a face deducții despre individ, cum ar fi
casele prietenilor, religia, starea de sănătate, afilierea politică etc
 Preocupări legate de păstrarea și accesul autorităților publice sau al
angajatorilor
o Dacă angajatorul utilizează pentru a urmări flota de vehicule care nu
este legată de persoane fizice, nu de date cu caracter personal: dacă
datele sunt utilizate în orice scop legat de angajat, atunci intră sub
incidența GDPR
 Direct Marketing
o În general
 DM: orice formă de promovare a vânzărilor, inclusiv DM-uri de la organizații caritabile și
organizații pol în scopuri de strângere de fonduri
 Nu are nevoie să ofere ceva de vânzare, ar putea fi o promovare gratuită sau
doar promovarea organizației în general
 Direcționate către anumite persoane (legile DP se aplică atunci când PD
persoanelor fizice sunt procesate pentru a le comunica mesaje de marketing)
 Majoritatea DM se supun legilor DP, precum și legilor privind protecția consumatorilor și
legilor privind publicitatea, care variază între statele membre
 Legea aplicabilă poate fi locul în care se află expeditorul sau destinatarul sau
ambele

54
  Adesea include date colectate prin intermediul dispozitivului consumatorului: cookie-
uri, date despre locație
 Mesajele push și mesajele în aplicație sunt DM!
 Marketingul nedirecționat (bannerele site-ului web) și mesajele pur legate de servicii
(informează despre starea unei comenzi) nu sunt DM
 Directiva asupra confidențialității și comunicațiilor electronice se va aplica în cazul
comercializării trimise prin rețele de comunicații electronice: nu se aplică marketingului
poștal
 C trebuie să îndeplinească toate cerințele GDPR: baza legală pentru prelucrare (de obicei
consimțământul sau interesele legitime), furnizarea de informații corecte de prelucrare
(transparență), măsuri tehnice și organizatorice adecvate pentru protejarea datelor,
niciun transfer în afara SEE
 DS trebuie să aibă dreptul specific de a refuza sau de a renunța la DM trimis de C; dacă
se bazează pe consimțământ, pot fi retrase în orice moment; Dacă se bazează pe
interese legitime, renunțarea este încă necesară
 SP trebuie să fie informată cu privire la dreptul de renunțare, prezentată în mod
clar și separat de alte informații
 DS trebuie să poată renunța pe toate canalele de marketing
 Cs trebuie să onoreze cererile de renunțare în timp util, fără costuri pentru DS
 PD trebuie șters, cu excepția cazului în care păstrarea este strict necesară
o Excepții: necesare pentru stabilirea, exercitarea sau apărarea
revendicărilor legale, motive legitime convingătoare pentru prelucrarea
continuă care depășesc interesele de confidențialitate ale DS
 Datele de profilare trebuie eliminate fără o excepție pe care să se bazeze
 Dacă persoanele fizice solicită renunțarea, Cs ar trebui să suprime mai degrabă
decât să șteargă datele de contact: împiedică redobândirea detaliilor mai târziu
și reluarea DM
o C ar trebui să țină evidența DS cărora nu ar trebui să li se trimită
comunicări de marketing
 Listele naționale de renunțare ("Lista Robinson")
o MS poate solicita Cs să curețe lista DM împotriva listelor Robinson,
precum și înregistrările interne de renunțare înainte de a trimite
materiale de marketing: nerespectarea acestui lucru nu este o încălcare
a datelor, ci doar încălcarea legilor naționale
o Ulterior, consimțământul de înscriere are prioritate față de Lista
Robinson
 Directiva asupra confidențialității și comunicațiilor electronice
 Impune consimțământul și cerințele de informații privind marketingul prin
telefon, fax, e-mail, SMS, mesaje instantanee, notificări push și alte mesaje
electronice
 Necesită consimțământul prealabil al destinatarului
o Excepții pentru marketingul prin e-mail pe bază de renunțare în cazul în
care C a obținut informații DS prin vânzarea de produse sau servicii
 Adrese de marketing bazat pe locație și cookie-uri OBA
 Uneori impusă de autoritatea de reglementare a telecomunicațiilor în loc de
DPA
o Prin poștă (Directiva asupra confidențialității și comunicațiilor electronice nu se aplică)

55
  Chiar dacă nu este electronic, asigurați-vă în continuare respectarea principiilor GDPR /
DP (prelucrare legală, transparență, cereri de renunțare, alte drepturi DS)
 Cerințe privind consimțământul
 Nu există o cerință directă în GDPR, dar unele norme naționale impun DM
poștal: dacă nu este necesar, se bazează, de obicei, pe interese legitime cu
exercițiu de echilibrare
 Factori de echilibrare: clientul existent al lui C, natura produsului și a serviciilor,
a fost informat anterior că DS nu va primi DM-uri poștale
 Dacă baza interesului legitim nu este disponibilă, este necesar consimțământul
 În unele state membre, trebuie să curețe lista Dm împotriva registrului național opt-out,
cu excepția cazului în care DS și-a dat consimțământul valabil
o Prin telefon (se aplică Directiva asupra confidențialității și comunicațiilor electronice)
 Cerințe privind consimțământul
 Nu există nicio cerință expresă de obținere a consimțământului, cu excepția
sistemelor de apelare automată (întotdeauna req opt-in consent)
o Sistemele automate pot fi utilizate în continuare pentru a forma numere
pentru a facilita conversațiile de la persoană la persoană
 Legile statelor membre pot stabili dacă sunt permise pe bază de opt-in sau opt-
out
o DS trebuie să poată renunța gratuit
o Majoritatea statelor membre dispun de registre naționale de excludere
voluntară pentru telemarketing
o Unele state membre solicită operatorilor de telemarketing să
menționeze registrul național de renunțare în fiecare apel și oferă
dreptul individual de a se înregistra imediat și gratuit la acesta
 Condițiile DP nu se aplică întotdeauna, legile variază în general de la stat la stat
 Doar o abordare universală este obținerea consimțământului la toate nivelurile
 Sisteme automate de apelare: unele ID-uri MS req și datele de contact ale apelantului
 Unele state membre au o abordare mai relaxată a telemarketingului B2B
 GDPR se aplică în continuare, mai ales atunci când procesează PD-ul angajaților
pentru DM B2B
 Directiva asupra confidențialității și comunicațiilor electronice se aplică în egală
măsură telemarketingului B2B și B2C
o Prin e-mail/SMS (se aplică Directiva asupra confidențialității și comunicațiilor electronice)
 Trebuie să îndeplinească cerințele generale GDPR, cum ar fi transparența și prelucrarea
legală
 Poșta electronică: orice mesaj text, vocal, sonor sau imagine trimis printr-o rețea publică
de comunicații care poate fi stocat în rețea sau în echipamentul terminal al
destinatarilor până când este colectat de destinatar (definiție neutră din punct de
vedere tehnologic)
 C trebuie să obțină consimțământul prealabil și să furnizeze o notificare de prelucrare
corectă atunci când vor fi colectate datele
 Excepție limitată de renunțare atunci când datele de contact ale DS obținute în
contextul vânzării unui produs sau serviciu
o Unele state membre impun ca vânzarea să fi fost efectuată, în timp ce
altele permit în general în timpul contactului (nu se efectuează nicio
vânzare)

56
  Pentru scutire, C trebuie să trimită DM numai persoanelor fizice cu privire la
propriile produse sau servicii similare cu cele achiziționate de C ȘI
o Detaliile nu pot fi partajate cu terțe părți
o Nu poate comercializa produse sau servicii în mod diferit de cel legat de
DS
 C trebuie să fi oferit în mod clar și distinct persoanelor posibilitatea de a renunța
la marketing prin e-mail într-un mod simplu și gratuit la momentul colectării
inițiale a datelor și în fiecare comunicare de marketing
o De obicei, se face prin caseta de selectare atunci când se colectează
date
 Trebuie să trimită DS cu o adresă validă pentru a solicita renunțarea, prin intermediul
suportului adecvat prin care a fost trimisă comunicarea de marketing
 C nu trebuie să ascundă sau să ascundă identitatea expeditorului, să se asigure
că mesajul este clar identificabil ca fiind comercial comm, să se asigure că toate
ofertele promoționale sunt clar identificabile și condițiile pentru acestea sunt
ușor accesibile și lipsite de ambiguitate și că jocurile promoționale sau
concursurile pot fi identificate în mod clar și condițiile de participare sunt ușor
accesibile și prezentate în mod clar/neechivoc
o Prin fax (se aplică Directiva asupra confidențialității și comunicațiilor electronice)
 Se aplică GDPR, inclusiv transparența și cerințele legale de prelucrare
 Cerința consimțământului: trebuie să obțineți consimțământul prealabil înainte de a
trimite faxul
 Prezentați o notificare corectă de prelucrare atunci când sunt colectate date
 În cazul în care statele membre permit în prezent comercializarea prin fax B2B pe baza
opt-out, legislația națională poate impune autorităților de trimitere să curețe contactele
de marketing prin fax avute în vedere împotriva registrului opt-out
o În funcție de locație (se aplică Directiva asupra confidențialității și comunicațiilor electronice)
 Date de localizare: orice date prelucrate într-o rețea de comunicații electronice sau de
către un serviciu de comunicații electronice, care indică poziția geografică a
echipamentului terminal al unui utilizator al unui serviciu public de comunicații
electronice
 Include lat/long, altitudine, direcția de deplasare
 Se aplică numai datelor care arată poziția echipamentelor terminale, nu locația
persoanei > locația postării pe Facebook nu se aplică (dar GDPR se va aplica în
continuare, doar că nu ePD)
 Fie pe baza datelor de localizare a smartphone-ului (trecând printr-un magazin), fie
încărcate pe rețelele sociale
 Datele bazate pe locație sunt date cu caracter personal, deci se aplică GDPR: se aplică
cerințele privind transparența și prelucrarea legală
 Consimțământ: este necesară înscrierea pentru "serviciu cu valoare adăugată"
 Scutire: date anonimizate, dar este puțin probabil ca acest lucru să se aplice în
mod realist
 DS trebuie să fie mai întâi informată despre: tipurile de date de localizare colectate și
prelucrate, scopurile și durata prelucrării și dacă sunt transmise terților
 Adesea dificil de furnizat într-o manieră prietenoasă de utilizat, cea mai bună
practică este să includeți informații despre utilizarea datelor despre locație
pentru marketing în politica de confidențialitate a aplicației

57
  C trebuie să ofere SP posibilitatea de a-și retrage consimțământul de a utiliza locația
pentru DM și trebuie să fie disponibilă pe toată perioada prelucrării datelor de localizare
ale DS
 Trebuie să ofere atât dreptul cuprinzător de renunțare, cât și dreptul de a
renunța temporar la fiecare conexiune la rețea sau pentru fiecare comunicație
o Publicitatea comportamentală online (OBA) – Cookie-uri! (Se aplică Directiva asupra
confidențialității și comunicațiilor electronice)
 Publicitatea pe site-ul web care vizează persoanele fizice pe baza observării
comportamentului în timp, oferă publicitate mai relevantă pentru drepturile și
interesele persoanelor, îmbunătățește eficiența anunțurilor și rata de clic
 CS poate face recomandări către DS pe baza interacțiunilor anterioare cu un site web
 Rețelele de publicitate pot urmări comportamentul pe mai multe site-uri web
neafiliate pentru a direcționa publicitatea pe toate site-urile
 Cookie plasat pe computer pentru a colecta informații, a înregistra preferințele
și a le trimite înapoi în rețea
o În cele din urmă, un profil este atribuit acelui utilizator (proaspătă
mamă, tânăr profesionist)
 Întrebarea este dacă profilul online fără a cunoaște persoana reală ar trebui să se califice
drept PD și, prin urmare, să intre sub incidența GDPR
 Considerată "profilare"
 OBA permite urmărirea utilizatorilor unui anumit computer, chiar și atunci când
sunt utilizate adrese IP dinamice, astfel încât utilizatorii să poată fi identificați
chiar dacă numele reale nu sunt cunoscute
 Care entitate este operatorul de date?
 Rețelele publicitare se califică adesea deoarece au control complet asupra
scopului și mijloacelor pentru care sunt prelucrate informațiile vizitatorilor site-
ului web: rețelele publicitare închiriază spațiu de la editorii de site-uri web,
setează și citesc informații legate de cookie-uri și colectează adrese IP și alte
date
 Editorul site-ului web poate fi un controlor comun cu rețeaua publicitară prin
angajarea rețelelor publicitare pentru a observa OBA prin intermediul site-urilor
lor web
o Rețeaua și editorii ar trebui să convină contractual cine va notifica
vizitatorii că datele personale sunt utilizate pentru OBA și modul în care
vizitatorilor li se va oferi posibilitatea de a refuza
 Agenții de publicitate pot fi operatori de date independenți: agentul de
publicitate monitorizează activitatea ulterioară de navigare a individului și o
combină cu profilul de direcționare referitor la individ
 **Toate părțile implicate pot avea cerințe de conformitate
 ePD se aplică indiferent dacă se consideră că se aplică GDPR
 Menționarea explicită a cookie-urilor în ePD
o Utilizarea cookie-urilor este permisă numai cu condiția ca persoana să își
fi dat consimțământul, după ce a primit informații clare și cuprinzătoare
(consimțământ prealabil informat)
o Consimțământul trebuie să fie o indicație specifică a dorințelor lor, liber
exprimată și revocabilă: participarea activă a utilizatorului este
necesară, mecanismele pasive de renunțare sunt insuficiente

58
  Utilizarea setărilor browserului, de obicei insuficientă pentru a obține
consimțământul
o Potențial, dacă setarea implicită a browserului este fără cookie-uri și
utilizatorul o schimbă în mod activ pentru a accepta cookie-uri, acest
lucru s-ar putea aplica
 Majoritatea soluțiilor OBA implică utilizarea cookie-urilor terță parte: link către politica
de confidențialitate a terților
o Executarea
 Amenzi și sancțiuni administrative aplicate de autoritățile pentru protecția datelor
 Răspunderea civilă și uneori penală
 Directiva asupra confidențialității și comunicațiilor electronice: căi de atac judiciare,
răspunderi și sancțiuni ale RGPD aplicate încălcărilor ePD
 Poate fi pusă în aplicare de autoritățile de reglementare pentru protecția
consumatorilor și telecomunicații în loc de APD
 Un nou drept stabilit pentru persoanele fizice și întreprinderile cu interes legitim
în încetarea sau interzicerea spamului de a aduce dreptul privat de acțiune
împotriva comercianților neconformi (așteptarea ca ISP-urile să aducă aceste
reclamații)
 Tehnologia Internetului și Comunicații
o Cloud Computing
 Furnizarea de IT prin Internet (software, infrastructură, găzduire, platforme)
 Modele de servicii: infrastructură, platformă sau software ca serviciu
 Structura serviciului este partajată între clienții furnizorilor din mai multe țări
 ARTICOLUL 3 SE APLICĂ PROBABIL: ACTIVITĂȚI DE STABILIRE ÎN UE A OPERATORULUI
SAU OFERIREA DE BUNURI SAU SERVICII PERSOANELOR FIZICE DIN UE SAU
MONITORIZAREA COMPORTAMENTULUI ACESTORA
 Weltimmo (primul test): stabilirea depinde de gradul de stabilitate a modalităților
și de exercitarea efectivă a activităților
o Site-ul web care vizează Ungaria, folosind limba maghiară, cu un
reprezentant în Ungaria pentru proceduri judiciare / recuperarea
datoriilor, o cutie poștală în Ungaria și un cont bancar maghiar este
suficient pentru stabilirea în Ungaria
o Activitățile minime pot constitui stabilirea
 Google împotriva Spaniei: legătura economică dintre datele din afara UE C care
prelucrează PD și sediul în UE poate însemna activități C care fac obiectul
reglementării
 Al 2-lea test: nu este necesar să se stabilească dacă stabilirea în UE
o P poate fi atras în legislația UE pe baza prelucrării: chiar dacă P nu este
supus direct legilor în cadrul acestor două teste, dacă clientul intră sub
incidența legislației UE, P va trebui să îl urmeze și el!
 C v. P: C determină cum și de ce PD este procesată, P acționează conform instrucțiunilor
lui C
 Dacă P determină unele elemente substanțiale și esențiale ale prelucrării, cum
ar fi păstrarea datelor, acestea ar putea deveni un C
 Relevant, deoarece computerele cloud caută să utilizeze datele personale
colectate de clienți în scopuri proprii

59
  Contracte de servicii reglementate de GDPR cu lista detaliată a obligațiilor persoanei
împuternicite de operator:
 Includeți informații despre obiectul, durata, natura și scopul prelucrării, cu tipul
de date cu caracter personal și categoriile de DS
 PD este procesată numai pe baza unor instrucțiuni documentate, inclusiv a
transferurilor de date
 Persoanele fizice care prelucrează date supuse obligației de confidențialitate
 Măsuri de securitate mai prescriptive
 Cs a notificat sub-P-urile și au dreptul de a formula obiecții
 Toți sub-P-urile au aceleași obligații contractuale ca și P
 Măsuri luate pentru a se asigura că C își pot îndeplini toate obligațiile cu ajutorul
P (de exemplu, notificarea DS cu privire la încălcarea datelor, efectuarea DPIA
etc.)
 Toate datele PD sunt șterse sau returnate odată ce furnizarea serviciilor este
finalizată
 Monitorizarea respectării contractului permisă
 Cs solicită, de asemenea, dispoziții contractuale normale, cum ar fi despăgubirea
pentru utilizarea abuzivă a PD de către P
 DE ASEMENEA, P nu răspunde în mod responsabil pentru obligațiile de
reglementare ale lui C
 Transferuri internaționale de date
 Cs trebuie să poată demonstra garanții pentru protecția PD transferată: opțiuni
o Limitări geografice (pot anula scopul cloud-ului, pot crește costurile)
o Alegeți furnizori certificați Scutul de confidențialitate din SUA
o Utilizați clauzele model
 Dificil de constructor pentru transferuri către mai multe părți
 Trebuie actualizat pe măsură ce procesul evoluează
 Sunt inflexibili
o Acorduri personalizate de transfer de date (trebuie aprobate de
autoritățile de reglementare)
o BCR pentru Ps (permite utilizarea Cs atunci când informațiile sunt
transferate de Ps)
o Coduri de conduită și certificare (nou cu GDPR)
o Derogare de la articolul 49: include consimțământul
o Modulele cookie
 Cookie: un mic fișier text care este livrat de un server de site web pe computerul
vizitatorilor site-ului său web (amprentarea dispozitivului) - > limitat pe dispozitivele
mobile și cu aplicații
 Ajutați la adaptarea ofertelor site-ului web și la menținerea securității persoanelor în
timp ce sunteți conectați la site-ul web, de asemenea, facilitatea de publicitate
direcționată
 Legate de informații care nu pot fi identificate personal (adrese IP, ora unei vizite pe site
etc.), dar punerea acestor informații împreună poate crea un profil de identitate al
obiceiurilor de navigare: acestea sunt date personale în conformitate cu GDPR, deoarece
cookie-urile colectează PD pentru a dezvolta profilul!
 Dacă conectați profilul la nume, e-mail sau adresă, cu siguranță date personale

60
  Datele pseudonime includ profiluri care pot fi legate de o persoană, chiar dacă C nu
intenționează să facă legătura
 Vidal-Hall v. Google: profiluri ale obiceiurilor de navigare utilizate pentru a crea profiluri
pentru anunțurile țintă
 English Ct of Appeal a decis că profilurile sunt PD și utilizarea profilurilor de
către Google este inacceptabilă, deoarece, chiar dacă Google nu știa cine este
individul, alții care utilizează dispozitivul probabil știau și vor obține informații
despre individ pe baza anunțurilor direcționate
 Adresele IP sunt acum considerate în mod explicit PD în GDPR
 Legislația UE s-a aplicat site-urilor web din afara UE din cauza celuide-al 2-lea criteriu al testului
prevăzut la articolul 3
 Directiva asupra confidențialității și comunicațiilor electronice se aplică, de asemenea
 Stocarea informațiilor sau obținerea accesului la informații este permisă numai
dacă consimțământul a fost dat pe baza unor informații clare și cuprinzătoare
(excepție pentru cookie-urile necesare)
o Informații despre trimiterea și scopul cookie-urilor trebuie furnizate
utilizatorului
o Utilizatorul trebuie să consimtă înainte de plasarea cookie-ului
o Utilizatorul trebuie să aibă posibilitatea de a alege să consimtă și să
furnizeze indicații active că consimțământul este dat
 Dezbatere dacă consimțământul dat prin setările browserului este suficient
o Suficient dacă: (1) browserul respinge implicit cookie-urile, (2) setările
oferă informații clare, cuprinzătoare și complet vizibile despre utilizarea
și scopul cookie-urilor și despre modul de refuzare a acestora, (3)
utilizatorii trebuie să ia măsuri pozitive pentru a accepta setarea cookie-
urilor și recuperarea continuă a datelor din cookie-uri și (4) este
imposibil să ocoliți alegerile făcute de utilizatori în setările lor
 Site-urile web ar trebui să ofere informații complete și transparente cu privire la
utilizarea cookie-urilor
 Adresele IP sunt PD, deoarece ISP-ul poate lega adresa de un anumit client
 Organizațiile pot construi în continuare profilul utilizatorului IP și pot distinge pe
baza adresei IP și pot solicita ISP-urilor să identifice utilizatorii IP
 Breyer v. Germania (adrese IP dinamice)
o Atât adresele IP statice, cât și cele dinamice pot constitui PD în mâinile
altor organizații decât ISP-urile
o Motoare de căutare
 Procesați cantități mari de volume, inclusiv adresele IP ale utilizatorilor, cookie-urile
(utilizate pentru personalizarea și îmbunătățirea serviciilor), fișierele jurnal ale
utilizatorilor (ceea ce au căutat anterior), paginile web ale terților
 Atunci când creați profiluri, cum ar fi fișierele jurnal ale utilizatorilor și gestionați paginile
web 3rd party, motoarele de căutare sunt C pentru PD
 3pagini web rd party, deoarece SEOs, etc
 Al 2-lea paragraf al articolului 3 se aplică, în general, de obicei în afara SEE, dar
monitorizarea comportamentului
 De asemenea, ar putea fi supus ca procesor atunci când 3rd pagini de părți C
supuse GDPR

61
  Google împotriva Spaniei: Activitățile Google Spain și Google, Inc. au fost "legate în mod
inextricabil" din cauza rolului Google Spain de a vinde spațiul publicitar necesar pentru a
face motorul de căutare al Google, Inc. viabil din punct de vedere economic
 Alte aspecte
 Păstrarea datelor: trebuie să respecte cerința de proporționalitate, maximum 6
luni, apoi să șteargă sau să anonimizeze ireversibil
 Prelucrarea ulterioară în scopuri diferite: parametrii trebuie definiți în mod clar,
iar utilizatorii trebuie informați cu privire la scop (de exemplu, dacă datele
utilizatorilor sunt corelate între platforme și servicii, trebuie obținut
consimțământul utilizatorului)
o Dacă motoarele de căutare leagă datele între surse, poate fi ilegal dacă
persoanele nu primesc informațiile necesare de prelucrare corectă
atunci când datele sunt colectate și li se oferă dreptul de a renunța la
profilare
 Respectarea drepturilor DS: utilizatori înregistrați și neînregistrați, corectarea
sau ștergerea datelor personale memorate în cache (dreptul de a fi uitat)
o Rețele sociale
 Furnizori SNS = Cs, chiar dacă în afara SEE (aceleași considerente ca și motoarele de
căutare)
 SNS-urile trebuie să se asigure că aplicațiile 3rdparty respectă, de asemenea, GDPR
 Utilizatorii SNS pot fi scutiți în conformitate cu "excepția gospodăriei" sau excepția
pentru utilizarea PD în scopuri jurnalistice, artistice sau literare
 Nu se va aplica dacă SNS utilizat de organizație (utilizatorii sunt Cs sub GPDR)
 Dacă utilizatorul extinde cu bună știință accesul la datele cu caracter personal
dincolo de contactele selectate (funcționând și ca C în acest caz)
 Informații care trebuie furnizate de furnizorii SNS
 Observați că PD va fi utilizat pentru marketing și renunțare (dacă este cazul)
 Observați că PD va fi partajat cu anumite terțe părți
 Explicarea profilării efectuate
 Informații despre procesarea PD sensibilă
o Consimțământul explicit al DS necesar pentru punerea la dispoziție pe
internet
o SNS ar trebui să clarifice furnizarea de date în întregime voluntară
o Fotografiile pot revizui date sensibile, dar, cu excepția cazului în care
scopul este de a dezvălui aceste date, nu vor fi de obicei capturate în
această zonă
 Avertismente privind riscurile la adresa confidențialității
 Avertisment cu privire laconsimțământul părților 3rd necesare atunci când încărcați datele
altora, cum ar fi fotografii
 Dacă SNS adună și agregă PD de non-utilizatori (de exemplu, lista de contacte care
încarcă utilizatorul) și apoi creează profil, această prelucrare este ilegală în conformitate
cu GDPR, deoarece persoana al cărei profil este creat nu este în măsură să afle despre
prelucrare
 COPII
 Sub vârsta de 13-16 ani (în funcție de țară), trebuie dat consimțământul
părintelui

62
  Este posibil ca motivele interesului legitim pentru prelucrare să nu fie
disponibile
 C trebuie să țină seama de interesul superior al copilului
 Activități de sensibilizare și prelucrare echitabilă și legală
 PD sensibilă nu ar trebui solicitată, ar trebui adoptate setări implicite favorabile
vieții private, iar minorii nu ar trebui să fie vizați prin marketing direct
o Aplicații mobile
 Aplicațiile au accesat datele mobile stocate, utilizate pentru a oferi servicii inovatoare
utilizatorilor, pot fi trimise înapoi dezvoltatorilor de aplicații și asociate cu un anumit
dispozitiv (inclusiv locația, fotografiile, e-mailurile, istoricul navigării pe internet,
altitudinea, audio, video, viteza, interacțiunile cu utilizatorul)
 PD specială poate fi dezvăluită și în funcție de locație (de exemplu, vizite
repetate la o biserică)
 Datele colectate în aplicații care pot fi considerate date cu caracter personal
 Directiva asupra confidențialității și comunicațiilor electronice se aplică, de asemenea, în
special dacă cookie-urile sunt aplicate și utilizate
 În general, cookie-urile sunt disponibile numai din aplicație, setându-le
o Din acest motiv, agenții de publicitate au dezvoltat noi metode de
urmărire
o Ori de câte ori sunt utilizate metode noi, acestea necesită, de
asemenea, acordul SP
 Este posibil ca dezvoltatorul aplicației să conțină C de date, cu excepția cazului în care
aplicația procesează date pe telefon, dar nu le trimite înapoi dezvoltatorului
 Multe alte părți ar putea fi implicate și ca procesatori
 Terții se pot transforma, de asemenea, în operatori
 Accesul aplicațiilor la lucruri precum persoanele de contact și fotografiile necesită
consimțământul utilizatorului
 Notă: informații adecvate dificile într-un spațiu mic
 Pictogramele sau simbolurile vizuale pot fi instrumente mai bune
 Notificări stratificate cu linkuri către informații complete
 Este posibil să fie necesară notificarea și politica de confidențialitate înainte de
descărcarea aplicației
 Consimțământ: Directiva asupra confidențialității și comunicațiilor electronice impune
consimțământul înainte de stocarea informațiilor pe un dispozitiv, ceea ce include
descărcarea unei aplicații
 Poate fi necesar ca temei legal, este posibil ca alte motive să nu fie disponibile
(cum ar fi interesul legitim pentru informații intime despre locație)
 Consimțământul pentru prelucrarea datelor care nu este esențial pentru
furnizarea funcțiilor aplicației nu este, în general, valabil dacă utilizatorul trebuie
să îl dea pentru a utiliza aplicația
 Consimțământul trebuie să fie specific, fără consimțământ umbrelă pentru nicio
prelucrare de către aplicație
 Minimizarea datelor: datele cu caracter personal trebuie să fie adecvate, relevante și
limitate la ceea ce este necesar în raport cu scopul pentru care sunt prelucrate
o Internetul obiectelor
 Lucruri generale în viață legate de internet (Home Nest, Alexa etc.)
 Senzorii colectează frecvent informații despre persoane identificabile

63
 C v. P: aceleași considerații ca și dispozitivele mobile
 Securitate provocatoare, deoarece numărul mare de obiecte conectate la aceeași rețea
(număr mare de puncte pentru intrarea rău intenționată) și software-ul este mai puțin
probabil să fie actualizat cu patch-uri de securitate
 Rețelele ar trebui să fie proiectate într-o manieră sigură, să pună în aplicare
protecția datelor începând cu momentul conceperii atunci când proiectează
lucruri
 Notificare și alegere
 Cum să oferiți persoanelor notificări corecte cerute de GDPR (autocolante?)
 Consimțământul este, de obicei, cel mai adecvat motiv pentru prelucrare: poate
fi necesar ca mecanismele de consimțământ să fie încorporate în dispozitivele în
sine

64